Eine der meistbeachteten Globalweisheiten der Informationswirtschaft beruht auf einem fundamentalen Missverständnis – oder zumindest auf einem Übersetzungsfehler: Denn wann immer eine IT-Fachkraft zu einer Computerinstallation gerufen wird, schreckt er (oder sie) schulterzuckend und mit der Bemerkung zurück: „Never change a running system.“ Dann noch einmal Schulterzucken und weg aus der Gefahrenzone.
Dabei bedeutet der Satz nicht wie allgemein in der landläufigen Übersetzung kolportiert, dass man nichts ändern sollte, solange das System noch läuft. Gemeint ist wohl eher, dass man nichts ändern sollte, während das System läuft. Man wechselt ja schließlich auch nicht in voller Fahrt auf der Autobahn die Reifen. Aber man wechselt sie – zum Beispiel gerade jetzt vorm Winter – obwohl der Wagen ansonsten noch tadellos funktioniert.
Am Pariser Flughafen Orly haben jetzt die IT-Experten durch jahrelange Untätigkeit für einen allgemeinen Stillstand im Flugbetrieb und bei der Passagier-Abfertigung gesorgt. Für das ausgefallene Computersystem war so schnell keine Fachkraft aufzutreiben. Kein Wunder – die fehlerhafte Software basierte auf Windows 3.1, das vor immerhin 23 Jahren vorgestellt wurde und schon lange aus jeder Wartungs-Warteschleife verschwunden sein sollte.
Dabei sind es keineswegs immer nur die „Dümmsten Anzunehmenden User“, die DAUs, die unsere digitalisierte Welt zum Einstürzen, pardon: Abstürzen bringen. Mehr als 100 kritische Schwachstellen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in vier der populärsten Standardpakete von Adobe, Apple und Microsoft gefunden: Adobe Flash Player, Microsofts Internet Explorer und in den Betriebssystemen Apple Mac OS X und Microsoft Windows. Die jetzt vorgelegte Schwachstellenanalyse notiert: „Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht.“ Der Skandal, so finden die deutschen Sicherheitswächter, bestehe in der inzwischen äußerst schleppenden Korrekturpraxis der Softwarehäuser. Zwar werden Anwender mit Update-Paketen überhäuft – beim Schließen von Sicherheitslücken ließen sich die Anbieter jedoch zum Teil besonders viel Zeit. Oder sie handelten auch gar nicht.
Ein Umstand, der nach Ansicht von Bundesinnenminister Thomas de Maizière auch einmal zivilrechtliche Folgen haben sollte. Denn die Cyberangriffe auf Produktionssysteme und Datenbanken nehmen in Deutschland wie überall in der Welt zu. Die jahrelang unverschlossenen (aber für Anwender nicht unbedingt zu bemerkenden) Hintereingänge in den Betriebs- und Anwendungssystemen stünden inzwischen für zweistellige Millionenschäden in der Wirtschaft – Jahr für Jahr.
Nach den Vorstellungen des Bundesinnenministers könnten (oder sollten) die Anbieter mit Schadensersatzforderungen zur Verantwortung gezogen werden. Allein die Gesetzgebung um die Produkthaftung gebe genügend Hebel an die Hand, um hier erfolgreich gegen Fahrlässigkeit im Umgang mit bekannten Sicherheitslücken vorzugehen.
Eine zusätzliche Dimension bekommen Sicherheitslöcher in weit verbreiteten Standardsystemen auch mit Blick auf die Vernetzung der Produktion und der Digitalisierung der Geschäftsprozesse. Denn gerade die Angriffe, bei denen Cyber-Krieger Zugriff auf Steuerungssysteme in der Industrie zu bekommen versuchen, haben zugenommen. Je mehr aber Maschinen mit Maschinen kommunizieren, desto größer wird die Angriffsfläche.
Eigentlich, so meinen Bundesminister und BSI, müsste man ein komplett fehlerfreies, solides, auf die modernen Anforderungen einer vernetzten Maschinenwelt ausgerichtetes Basissystem entwickeln. Doch vorerst behilft man sich in der Bundesregierung mit einem neuen IT-Sicherheitsgesetz, das zumindest das Niveau für die Rahmenbedingungen für sichere Systeme anheben soll. Ansonsten gilt wohl auch hier: Never touch a running system.