Die Parallelen sind kaum zu übersehen: Im Dezember 2019 breitete sich ein bis dahin unbekannter Virus in Windeseile über den Globus aus und infizierte Hunderttausende von Menschen. Unter den Folgen leiden wir noch heute – und ein Ende ist nicht in Sicht. Ein Jahr später – also im Dezember 2020 breitete sich ein bis dahin unbekannter Trojaner in Gigabit-Geschwindigkeit über die globalen Computernetze aus und befiel Zigtausende von Unternehmen und Organisationen. Unter den Folgen werden wir noch lange leiden – und diesmal ist es nicht einmal abzusehen, ob wir tatsächlich einen geeigneten Impfstoff gegen die Seuche der Cyber-Hacks haben. Im Gegenteil: Wir müssen davon ausgehen, dass der nächste Großangriff auf unser Daten-Tafelsilber schon längst (an)läuft.
Annähernd 20.000 Unternehmen und Organisationen allein in den Vereinigten Staaten sind von dem Schlupfloch betroffen, das durch ein kompromittiertes Update des Netzwerkmanagement-Anbieters Solarwinds aus Texas automatisch auf die Firmenserver eingespielt wurde. Zu den prominentesten Opfern zählen die US-amerikanische Atomwaffenbehörde, das Justizministerium, denen wohl kaum fahrlässiger Umgang mit IT-Sicherheit vorgeworfen werden kann. Ebenso wurden ausgerechnet der auf Cybersicherheit spezialisierte kalifornische Anbieter Fireeye und Microsoft attackiert, dessen Cloud-Plattform Azure inzwischen als wichtigstes Wachstumsprodukt etabliert ist und nur weiter boomen kann, wenn das Vertrauen in die Unverletzlichkeit der dort hinterlegten Daten und Anwendungen fortbesteht. Aber genau dieses Vertrauen ist nun gebrochen.
Denn auch wenn russische Geheimdienste – und nicht „nur“ kriminelle Coups zur Geldbeschaffung – hinter dem Angriff vermutet werden, ist das Vertrauen darauf, dass die weltweiten IT-Systeme überhaupt irgendwie geschützt werden können, nun vom Solarwind verweht. Das Unternehmen Solarwinds ist ja nun wirklich keine kleine Software-Klitsche mit fragwürdigem Management, sondern ein hochangesehener Systemsoftware-Lieferant, dem zahllose IT-Leiter vertrauen. Und Microsoft wird sicher nichts unversucht gelassen haben, den unerlaubten Zugriff auf die eigenen Kronjuwelen, nämlich den Sourcecode, zu verhindern. Müssen wir uns jetzt in die Augen schauen und uns eingestehen, dass Angriffe auf IT-Systeme nicht zu verteidigen sind – schon gar nicht, wenn sie als Gegenstand staatlicher Kriegsführung eingesetzt werden. Es sei denn, wir nehmen unsere IT-Systeme wieder komplett vom Netz, wo sie in einer global verzahnten Welt nutzlos bis wirkungslos wären.
Aber können wir Software-Lieferanten überhaupt noch trauen? Es gibt praktisch keine objektiven Qualitätsstandards, mit deren Hilfe wir absolut sicher sein können, dass keine ungewollten oder gewollten Hintertürchen in die Software eingebaut sind. Die Diskussion um die Beteiligung des chinesischen Lieferanten Huawei am deutschen 5G-Netz lebt jetzt wieder auf. Eine Selbstverpflichtung der Software-Lieferanten wäre ebenso wirkungslos wie die Lebensmittelampel von Julia Klöckner. Genau so ein nutzloses IT-Sicherheitskennzeichen sieht aber das im vergangenen November vom Bundesinnenminister Horst Seehofer vorgelegte IT-Sicherheitsgesetz vor.
Dabei bietet die Pharma-Industrie möglicherweise einen Ausweg – und auch das wäre eine Parallele: Wir haben uns im Corona-Jahr 2020 in Geduld fassen müssen, um den quälend langsamen Freigabeprozess für Impfstoffe über drei Ebenen klinischer Studien, dem Nachweis auf Wirksamkeit und der Sicherheit des Produktionsprozesses in aller Sorgfalt ablaufen zu lassen. Die weltweit einheitlichen Studien, Tests und Audits sind das Ergebnis eines pharmazeutischen Super-GAUs, des Contergan-Skandals im Jahr 1961. Seitdem ist das sogenannte „In-Verkehr-Bringen“ von Medikamenten streng reguliert. Wir werden nicht umhin kommen, eine solche „Soft- und Hardware-Behörde“ analog zur US-amerikanischen FDA, der mächtigen Food and Drug Administration zu etablieren. Sonst droht der globalen Informationswirtschaft eine schleichende Abschaltautomatik.
Schon warnen Industrieverbände, dass ein solches IT-Sicherheitsgesetz unnötige Bürokratiehürden aufbauen könnte und darüber hinaus die Kosten für Softwareentwicklung deutlich verteuern würde, während gleichzeitig das Entwicklungstempo gedrosselt werde. Das mag sein, aber höhere Sicherheitshürden sind unverzichtbar in einer Welt, die immer mehr auf Algorithmen aufbaut und vom Datenaustausch lebt. Solarwinds ist nicht Grünenthal – vor allem dann nicht, wenn wir nicht aus der Gefährdung lernen. Sonst wird unsere global vernetzte Welt vom Winde verweht.