Nicht anfassen!

Eine der meistbeachteten Globalweisheiten der Informationswirtschaft beruht auf einem fundamentalen Missverständnis – oder zumindest auf einem Übersetzungsfehler: Denn wann immer eine IT-Fachkraft zu einer Computerinstallation gerufen wird, schreckt er (oder sie) schulterzuckend und mit der Bemerkung zurück: „Never change a running system.“ Dann noch einmal Schulterzucken und weg aus der Gefahrenzone.

Dabei bedeutet der Satz nicht wie allgemein in der landläufigen Übersetzung kolportiert, dass man nichts ändern sollte, solange das System noch läuft. Gemeint ist wohl eher, dass man nichts ändern sollte, während das System läuft. Man wechselt ja schließlich auch nicht in voller Fahrt auf der Autobahn die Reifen. Aber man wechselt sie – zum Beispiel gerade jetzt vorm Winter – obwohl der Wagen ansonsten noch tadellos funktioniert.

Am Pariser Flughafen Orly haben jetzt die IT-Experten durch jahrelange Untätigkeit für einen allgemeinen Stillstand im Flugbetrieb und bei der Passagier-Abfertigung gesorgt. Für das ausgefallene Computersystem war so schnell keine Fachkraft aufzutreiben. Kein Wunder – die fehlerhafte Software basierte auf Windows 3.1, das vor immerhin 23 Jahren vorgestellt wurde und schon lange aus jeder Wartungs-Warteschleife verschwunden sein sollte.

Dabei sind es keineswegs immer nur die „Dümmsten Anzunehmenden User“, die DAUs, die unsere digitalisierte Welt zum Einstürzen, pardon: Abstürzen bringen. Mehr als 100 kritische Schwachstellen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in vier der populärsten Standardpakete von Adobe, Apple und Microsoft gefunden: Adobe Flash Player, Microsofts Internet Explorer und in den Betriebssystemen Apple Mac OS X und Microsoft Windows. Die jetzt vorgelegte Schwachstellenanalyse notiert: „Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht.“ Der Skandal, so finden die deutschen Sicherheitswächter, bestehe in der inzwischen äußerst schleppenden Korrekturpraxis der Softwarehäuser. Zwar werden Anwender mit Update-Paketen überhäuft – beim Schließen von Sicherheitslücken ließen sich die Anbieter jedoch zum Teil besonders viel Zeit. Oder sie handelten auch gar nicht.

Ein Umstand, der nach Ansicht von Bundesinnenminister Thomas de Maizière auch einmal zivilrechtliche Folgen haben sollte. Denn die Cyberangriffe auf Produktionssysteme und Datenbanken nehmen in Deutschland wie überall in der Welt zu. Die jahrelang unverschlossenen (aber für Anwender nicht unbedingt zu bemerkenden) Hintereingänge in den Betriebs- und Anwendungssystemen stünden inzwischen für zweistellige Millionenschäden in der Wirtschaft – Jahr für Jahr.

Nach den Vorstellungen des Bundesinnenministers könnten (oder sollten) die Anbieter mit Schadensersatzforderungen zur Verantwortung gezogen werden. Allein die Gesetzgebung um die Produkthaftung gebe genügend Hebel an die Hand, um hier erfolgreich gegen Fahrlässigkeit im Umgang mit bekannten Sicherheitslücken vorzugehen.

Eine zusätzliche Dimension bekommen Sicherheitslöcher in weit verbreiteten Standardsystemen auch mit Blick auf die Vernetzung der Produktion und der Digitalisierung der Geschäftsprozesse. Denn gerade die Angriffe, bei denen Cyber-Krieger Zugriff auf Steuerungssysteme in der Industrie zu bekommen versuchen, haben zugenommen. Je mehr aber Maschinen mit Maschinen kommunizieren, desto größer wird die Angriffsfläche.

Eigentlich, so meinen Bundesminister und BSI, müsste man ein komplett fehlerfreies, solides, auf die modernen Anforderungen einer vernetzten Maschinenwelt ausgerichtetes Basissystem entwickeln. Doch vorerst behilft man sich in der Bundesregierung mit einem neuen IT-Sicherheitsgesetz, das zumindest das Niveau für die Rahmenbedingungen für sichere Systeme anheben soll. Ansonsten gilt wohl auch hier: Never touch a running system.

 

 

Högschte Konzentration in Digitalien!

Also, Jungs, jetzt mal herhören: Die erste Halbzeit gegen Digitalien haben wir ordentlich vergeigt. Wir liegen klar und nicht unverdient hinten. Jetzt geht es darum, wie wir die zweite Halbzeit gewinnen können. Dazu brauchen wir eine schonungslose Analyse unserer Schwächen und kein langes Rumgerede mehr. Also: högschte Konzentration!

Die gegnerische Offensive hat mit ihren Weltstars unsere Abwehr total schwindelig gespielt. Wir dürfen die einfach nicht in unserem Strafraum so unbehindert zum Schuss kommen lassen. Im Mittelfeld geht alles zu langsam, zu pomadig, zu analog. Das ist zu viel Kleinklein. Und im Sturm fehlen uns ein paar Startups, die mit schnellen, digitalen Vorstößen in den Rücken der gegnerischen Abwehr gelangen. Und dann brauchen wir einen gnadenlosen Knipser – einen, der auch mal dahin geht, wo´s wehtut.

Deshalb ändern wir jetzt unser Spielkonzept. Die Abwehr rührt mit unseren Datenschutzbestimmungen hinten Beton an und verschlüsselt mit einem Klick unsere Zugänge. Das Mittelfeld stärken wir, in dem wir ein paar Millionen Eurospritzen in ein besseres Passspiel zwischen den Prozessen injizieren! Und im Sturm kommen wir mit ein paar neuen Kräften, jung und unerfahren, aber hungrig.

Auf geht’s!

So oder ähnlich würde es geklungen haben, wenn nicht Bundeswirtschaftsminister Sigmar Gabriel, sondern Bundestrainer Jogi Löw die Ergebnisse des IT-Gipfels letzte Woche zusammengefasst hätte.

Aber im Ergebnis kommt es aufs Gleiche hinaus. Deutschland hat die erste Halbzeit im Spiel um die Digitalisierung der Wirtschaft ordentlich vergeigt. Im Aufbau der informationstechnischen Infrastruktur sind wir auf den sechsten Rang im Ländervergleich abgerutscht. Die fünf größten US-amerikanischen Technologiefirmen haben im November einen gemeinsamen Marktwert von 1.200 Milliarden Dollar erreicht, die fünf größten deutschen Automobilhersteller kommen auf einen Company Value von gerade einmal 400 Milliarden US-Dollar.

Jetzt soll im doppelten Sinne „Pace“ gemacht werden: Weitere 50 Millionen Euro verspricht Sigmar Gabriel für den deutschen Mittelstand, der Projektskizzen für die Digitalisierung seiner Geschäftsprozesse einreichen soll. Denn das Ziel Nummer Eins lautet unverändert: Den Mittelstand stärken und in die Lage versetzen, mit Industrie 4.0 die Oberhoheit in der Fertigungswelt von Morgen zu behalten.

Ziel Nummer Zwei freilich lautet, die Infrastruktur dafür zu schaffen, dass die digitalisierten Prozesse auch auf einer gesunden und sicheren Netzwerk-Grundlage erfolgen können. Der Ausbau der Datennetze ist seit jeher ein Versprechen der deutschen Politik. Aber die Geschwindigkeit, mit der hier vorangeschritten wird, reicht nicht aus, um mit dem Erneuerungstempo mitzuhalten.

Dabei könnte auch die Erneuerung des Mittelstands schneller voranschreiten. Denn schon beim letzten IT-Gipfel im vergangenen Jahr waren Mittelstandsprojekte ausgerufen worden. Die 16 seitdem ausgewählten Projekte sollen nun Anfang 2016 starten. Wann sollen dann also die 50 Millionen Euro an neuen Fördergeldern auf die Straße kommen? 2017? Dann ist das Spiel längst abgepfiffen.

Ziel Nummer Drei ist schließlich die konsequentere Förderung von Startups in der digitalen Wirtschaft. Hier gilt es inzwischen als Fortschritt, dass die Irritationen des vergangenen Sommers aus dem Weg geräumt wurden. Damals war aus dem Bundesfinanzministerium ein Diskussionsentwurf gekommen, der Kapitalgebern die Möglichkeit des Verlustvortrags bei Reinvestitionen nehmen sollte. Das im September von der Bundesregierung beschlossene Eckpunktepapier zum Thema Wagniskapital soll nun noch einmal nachgebessert werden. – „Ja, gut äh“, würde der Kaiser Franz sagen. „Aber dann auch machen!“

Schließlich Ziel Nummer Vier: Die bessere und vor allem leichtere Verschlüsselung von Daten und Nachrichten soll jetzt mit einer Charta unter der argumentativen Führung des Bundesamts für Sicherheit in der Informationstechnik (BSI) festgeschrieben werden. Geplant ist, die Krypto-Mechanismen deutlich zu vereinfachen. Anwender sollen die Möglichkeit haben, die Verschlüsselungsmechanik mit einem Mausklick an- und auszuschalten. Aber konkrete Maßnahmen gibt es noch nicht.

Das ist alles noch ein bisschen wenig. Aber jetzt müssen wir über den Kampf ins Spiel finden. Und jetzt raus Jungs, zeigt Euch. Wir woll´n euch siegen seh´n. Högschte Konzentration in Digitalien!

 

Biere Harbour

Dieser Streich wird Schule machen. Microsoft will sich mit der geplanten Übergabe des Data Centers für die deutsche Cloud-Region, die in einer Datentreuhänderschaft von der T-Systems betrieben werden soll, den Zugriffsmöglichkeiten der US-Behörden entziehen. Sollte das Konzept, das im kommenden Jahr in die Pilot- und sukzessive auch in die Betriebsphase gehen soll, greifen, wäre – im übertragenen Sinne – ein Datenraum geschaffen, der einzig und allein deutscher Gerichtsbarkeit unterliegt.

Das wäre für die USA so etwas wie ein Pearl Harbour im großen vaterländischen Schnüffelkrieg.

Microsoft hat für seine Public Cloud-Angebote – also Azure, Office 365 und Dynamics CRM – länger gebraucht als seine US-Konkurrenten, um die Präsenz mit Datenzentren in Europa zu verstärken. Amazon, Google oder IBM haben schon im vergangenen Jahr mit neuen Hochsicherheitstrakten für Cloud-Daten in Europa Milliardeninvestitionen getätigt. Die Liste ist in der Tat beeindruckend. So werden Amazons Web Services in Dublin und Frankfurt, Googles Dienste in Dublin, St. Ghislain (Belgien), im niederländischen Eemshaven und im finnischen Hamina gespeichert. IBM kündigte noch im vergangenen Oktober den Ausbau europäischer Standorte an, die dann London, Amsterdam, Paris, Frankfurt und Mailand umfassen. Und auch Salesforce hat mit einem eigenen Datenzentrum in Frankfurt einen sicheren Boden unter den Füßen.

Doch der alleinige Gang auf europäisches Terrain ist für US-amerikanische Datendienstbetreiber alles andere als hinreichend, wenn es um datenschutzrelevante Belange geht. Denn nach US-amerikanischer Rechtsauffassung haben US-Behörden in bestimmten begründeten Fällen auch dann Zugriff auf in Europa residierende Daten, wenn der Betreiber ein US-Unternehmen ist und somit auch im Ausland US-Recht unterliegt. Einen derartigen Fall fechten Microsoft und die US-amerikanischen Ermittlungsbehörden derzeit in einem konkreten Fall aus, bei dem die angeforderten Daten in Dublin residieren und ausgeliefert werden sollen.

Es hat wohl dieses Gerichtsverfahrens bedurft, um bei Microsoft die Erkenntnis reifen zu lassen, dass das Betreiben eines Data Centers in Europa nicht ausreicht. Schon vor drei Jahren haben die deutschen Microsoft Partner mit Richmond darüber debattiert, dass prinzipiell die Weitergabe von Daten an US-Behörden gegen geltendes deutsches Recht verstoßen könnte. Im Oktober hat schließlich der Europäische Gerichtshof die Safe Harbour-Vereinbarung mit der Begründung als ungültig erklärt, dass die Datenschutzvereinbarung offensichtlich zwar für US-Unternehmen, nicht aber zwangsläufig für US-Behörden gelte.

Jetzt hat Microsoft als erstes US-Unternehmen die rechtlichen Konsequenzen gezogen: Die deutschen Cloud-Services werden beginnend mit Azure als Basis in das Rechenzentrum von T-Systems in Biere bei Magdeburg verlagert und in Frankfurt gespiegelt. Nach dem Aufbau gibt Microsoft quasi die Schlüssel an Telekom-Techniker ab und versagt sich damit jeglichen Rückgriff auf die dort getätigten Installationen. Im Ergebnis wird Microsoft somit behaupten können, nicht mehr in der Lage zu sein, dem Ansinnen von US-Behörden auf Datenherausgabe folgen zu können.

Der technische, aber verschmerzbare Nachteil: Da die deutsche Cloud in „Biere Harbour“ vollständig von der sonstigen globalen Cloud-Infrastruktur von Microsoft abgekoppelt sein wird, entzieht sie sich auch den Updatemöglichkeiten aus der Microsoft-Zentrale. Neue Versionen und Funktionen müssen also durch die Telekom-Techniker übernommen und installiert werden. Ein weiterer Nachteil ist freilich auch, dass mit der T-Systems ein weiteres Element in der Cloud-Nahrungskette eingebunden ist. Zwar sind noch keine Preise bekannt, aber teurer ist das Mehr an Sicherheit bestimmt.

Das Modell dürfte Schule machen, denn mit dem Gang nach Europa allein haben sich die anderen US-Anbieter dem Zugriff ihrer US-Behörden keineswegs entzogen. Die „deutsche Wolke“ könnte aber auch darüber hinaus werbewirksam für andere globale Regionen wirken. So soll das chinesische Unternehmen Huawai bereits die Dienste in Biere in Anspruch nehmen. Sollte dahinter die Absicht stehen, die eigenen Daten vor der chinesischen Regierung zu schützen, müsste allerdings noch eine ähnliche Treuhänder-Beziehung folgen, wie sie jetzt Microsoft und T-System geschlossen haben.

Dann kann nämlich nur auf Anordnung eines deutschen Richters eine Herausgabe von Daten erreicht werden. Dazu müsste jedoch ein Amtshilfeersuchen aus dem Ausland vorliegen. Ganz versperrt ist die Tür also nicht. Aber sie wird, wenn überhaupt, nach deutscher Rechtsauffassung geöffnet.

Die USA haben mit ihrer Datensammelwut in den vergangenen Jahren möglicherweise sich selbst ein Pearl Harbour bereitet. Sie haben in Europa „einen schlafenden Riesen geweckt“.

 

Heinz-Paul Bonn 2.0

On Thursday, October 22, I was born again. At the baggage carousel in Toronto Airport I suffered a cardiac arrest and was dead – as good as. An air hostess who was standing next to me took a defibrillator from the wall and brought me back to life. I regained consciousness in the ambulance and there I found out about my miraculous rescue. Or maybe it wasn’t so miraculous after all?

In Germany around one in three of an estimated 100,000 people a year who have a cardiac arrest are brought back to life. They, like me, are lucky to have somebody nearby who is willing and able to apply cardiac massage swiftly and correctly. Sudden cardiac death is otherwise the third most frequent cause of death in the Western world. Fifty percent of cases occur in the domestic environment, 50 percent in public.

Compared with the rest of Europe, Germany is something of an also-ran. In Norway, where cardiopulmonary resuscitation is taught at school, the success rate is over 70 percent. In Canada, with around 40,000 cases of sudden cardiac arrest a year, the chance of success naturally depends on the region. In Germany, rescue services must be on the spot in between seven and 12 minutes. In the vast expanses of Canada’s provinces that is not a feasible target. And that makes it all the more important for people to intervene resolutely.

That was what happened to me. I was lucky that my heart stopped beating in an industrialized country – and that it happened at Toronto Airport. I was lucky that a well-trained air hostess was standing next to me and responded correctly and immediately: check, call, act. I was also lucky that my friend Mark Miller, with whom I had an appointment that October 22, rushed over to me in hospital and arranged so much for me. Probably more than I realize. For that I owe him a debt of eternal gratitude. I am also grateful to my loved ones, who flew over straight away from Germany and the U.S. I must also thank Elke Ritschel and Stephan Michels, who from Germany initiated everything that was required to enable me to recover and to expedite my recovery.

But I also experienced the inadequacies of Western healthcare in the arbitrary example of its provision in Toronto. On the way to hospital I had to give the driver his directions from my smartphone because his navigation device was not working or he had entered the wrong address. The list of my medications was useless in Canada because hospital personnel there were not familiar with the product name and I didn’t know the name of the active ingredient off by heart. My insurance company’s consent to bear the costs was not recognized; real money first had to flow before bypass surgery could take place.

That is not a Canadian problem; it is a global problem. In our wonderfully connected world we allow ourselves the luxury of a large number of uncoordinated national healthcare initiatives. Partly for reasons of data security we dispense with a swift and interruption-free flow of information between healthcare institutions. And we are unable to define uniform global name codes for vital medications.

We are working on the Internet of Things, yet we neglect progress on the Internet of Lives. When machines can communicate better with each other, that helps save human lives. But we must take even greater care to ensure that people cooperate when human lives are at stake.

I would like to thank everybody who has helped me over the past few days with friendly, encouraging words. All of them have wavered between two sensations: the feeling of shock at how fast “fate” can strike and the feeling of relief that “luck” stayed on my side. Let those of us who are in a position to change things work to help ensure that luck stands a chance in healthcare and in life in general. You don’t first need to suffer a cardiac arrest…