Sie ist die begehrteste Braut der Welt: Milliarden Menschen sind mit der Firma Microsoft verheiratet – und scheuen die Scheidung. Trotz zahlreicher Probleme. Und nicht nur Einzelpersonen: Auch ganze Regierungen und sogar überstaatliche Institutionen wie die EU können nicht vom Windows-Betriebssystem und den vielen darauf basierenden Anwendungen lassen. Obwohl sie vielfach sogar dazu verpflichtet wären.
»Das Microsoft-Dilemma – Europa als Softwarekolonie« heißt eine Dokumentation der ARD, die auch bei YouTube verfügbar ist (Link via Invidious vom Google-Tracking befreit). Eine Dreiviertelstunde, die jede*r investieren sollte.
Ausgehend vom »WannaCry«-Ransomeware-Wurm, der vom 12. Mai 2017 an hunderttausende Computer in mehr als 150 Ländern heimsuchte, beleuchtet die Doku die Gründe für die Verbreitung von Windows und Microsoft-Produkten und beschreibt die massiven Sicherheitsprobleme, die das verursacht.
Die Deutsche Bahn war damals betroffen, ebenso große globale Firmen wie FedEx, Boeing, Hitachi, Honda, Nissan oder Renault, das britische Gesundheitssystem NHS (woraufhin Krankenhäuser im Königreich auf Notbetrieb umstellen mussten), Russlands Innenministerium, Deutschlands O2, die südafrikanische Telkom, Spaniens Telefónica, die Portugal Telecom, viele Universitäten weltweit – und zahllose weitere Firmen und Einrichtungen.
Ihre Gemeinsamkeit: Sie alle verwenden Microsofts Betriebssystem – wie auch sämtliche Staaten Europas. Und hier wird’s interessant: Die EU hat nämlich qua Gesetz die Pflicht, den Bedarf an neuer Software jedesmal öffentlich auszuschreiben.
Das tut sie aber nicht. Oder besser gesagt, sie tut nur so, als ob. Ausgeschrieben wird nämlich nicht der Bedarf an neuer Betriebssystem-Software, sondern nur der Bedarf an neuer Microsoft-Software, und die EU-Behörden sind der Ansicht, dass es reicht, dass sie diesen Bedarf an mehrere Microsoft-Zwischenhändler ausschreiben. Ein anderes Wort für ein solches Vorgehen wäre zum Beispiel »Augenwischerei«.
Microsoft-Fans könnten jetzt fragen: OK; aber wo ist das Problem? Sollen sie doch die Produkte aus Redmond, Washington, benutzen. Mach ich doch auch!
Schon am Anfang der Dokumentation kommt Martin Schallbruch zu Wort, der bis 2016 IT-Direktor der Bundesregierung war. Seine große Sorge ist, dass mit der Abhängigkeit von einzelnen Herstellern auf der einen Seite und mit der Virtualisierung der gesamten IT, das heißt mit der Verlagerung von IT in die Cloud
– also Serverparks, die irgendwo in der Welt stehen können – die Kontrollfähigkeit, Steuerungsfähigkeit des Staates in Hinblick auf seine eigene IT immer weiter abnimmt.
Behörden könnten dann gar nicht mehr beurteilen, wie sicher ist meine IT, wie sicher sind die Daten der Bürgerinnen und und Bürger (…)
Das nämlich ist einer der entscheidenden Punkte in diesem Dilemma: Jede Bezirks-, Gemeinde-, Kreis-, Landes- und Bunderverwaltung hat die Verantwortung für die persönlichen Daten ihrer Büger*innen. Vereinfacht ausgedrückt: Wer einerseits auf die Einhaltung der DSGVO auch noch durch kleinste Einzelfirmen besteht, kann nicht selbst das Melderegister auf halboffenen Servern irgendwo in den USA ablegen.
Ein weiterer Punkt ist, wie oben am Beispiel »WannaCry« ausgeführt, das Thema Sicherheit. Microsoft ist, erstens, durch die große Verbreitung von Windows, Word, Office und Co. eines der Hauptziele von Hackern und Schadsoftware-Programmierern. Zweitens ist Microsoft ein notorischer Lieferant von Sicherheitslücken, die mal schneller, mal weniger schnell – und manchmal auch erst mit enormer Verzögerung geschlossen werden. Und drittens nutzen US-Behörden die Software auch, um gezielt Sicherheitslücken auszunutzen. Natürlich im Interesse der »nationalen Sicherheit«. »WannaCry« konnte sich nur verbreiten, weil die amerikanische NSA einen Microsoft-Exploit eintwickelt hatte, genannt EternalBlue, der ihr leider versehentlich gestohlen wurde.
Dumm gelaufen?
Nun ja, die Antwort ist ein eindeutiges »Jein«. Einerseits ist es heuchlerisch, ausschließlich den chinesischen Softwareentwicklern übergroße Nähe zum Staatsapparat vorzuwerfen. Es ist hinlänglich bekannt, dass auch US-Behörden eng mit amerikanischen Firmen zusammenarbeiten und sie zum Beispiel zur Datenherausgabe zwingen können. Und andererseits ist Microsoft halt ein Unternehmen, das proprietäre Software herstellt; Programme, deren Quellcode verschlossen ist. So können also nur Microsoft-Entwickler Microsoft-Probleme lösen.
In der Welt von FOSS (Free and Open-Source Software) liegt der Quellcode offen und kann von allen, die über genügend Wissen verfügen, geprüft und auditiert werden. Menschen, die an der Verbesserung einer Software interessiert sind, können Programmcode beisteuern – zum Beispiel auch Sicherheits-Patches.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) reicht es jetzt auf jeden Fall: Wegen eines aktuellen Security-Desasters (bei dem Informationen von Microsoft und von deren Cloud-Kund*innen abgegriffen wurden und der Master-Key zur Cloud offensichtlich gestohlen worden war) hat die Behörde vor zwei Wochen die Herausgabe von Daten eingeklagt.
Im Gespräch mit heise online erklärte ein Sprecher des Amtes: Das BSI hat im weiteren Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die das BSI zuvor in einem regulären Austausch erhalten hat, nicht zufriedenstellend waren.
Mit anderen Worten: Der Konzern hat sich geweigert, Informationen herauszugeben. Und hier schließt sich der Kreis: Behörden sind durch Gesetze zu Transparenz und zur Öffentlichmachung von Informationen verpflichtet; wenn aber die Software der Behörden von einem Hersteller stammt, der sich schlicht weigert, brechen die Behörden das Gesetz, ohne etwas dagegen tun zu können.
Weiter oben steht schon ein wichtiger Begriff: Mit FOSS entstehen solche Probleme gar nicht erst. Deswegen wäre es nur einleuchtend und juristisch betrachtet sogar notwendig, dass öffentliche Stellen, ob deutsche Bundesregierung, Kreisverwaltung oder EU-Behörde, ihre IT mit Open-Source-Software betreiben.
Und hier kommt schon das nächste Problem: Da ist nicht so viel Profit zu holen. Das LiMux-Projekt, also die Umstellung der Münchner Behördenrechner auf Linux, ist nicht an Mängeln im Linux-OS gescheitert. Vielmehr kommt die oben bereits verlinkte Doku zu dem Verdacht, dass der Rückbau des zwischen 2003 und 2014 erfolgreich gelaufenen Linux-Projekts zu Windows & Co. vielleicht auch damit zu tun gehabt haben mag, dass die bayerische Hauptstadt mit dem US-Unternehmen einen Deal abgeschlossen hat: Ich baue hier einen Firmensitz und schaffe damit Arbeitsplätze, wenn du wieder meine Software nutzt.
Eine Hand wäscht die andere.
Mal sehen, wie es in Schleswig-Holstein weitergeht. Im März hatten wir berichtet, dass das nördlichste Bundesland seit 2021 an einer schrittweisen Umstellung weg von Windows, hin zu Linux arbeitet. Das Konzept steht und wird offensichtlich energisch vorangebracht. Aktuell hat sogar die österreichische Tageszeitung Der Standard einen lesenswerten Bericht zum Stand der Dinge veröffentlicht.
Und Open-Source-Software ist auch anderswo auf dem Vormarsch: Schon vor sechs Jahren schrieb das Magazin Informatik Aktuell unter der Überschrift »SAP und Linux: 5 Gründe für die Migration auf Linux«: Linux hat sich längst als Mainstream-System für das Enterprise etabliert und wird bereits als das Betriebssystem der Zukunft gehandelt.
SAP will ab dem kommenden Jahr, 2025, alle alten Datenbanksysteme (Oracle, DB2 und MS SQL) durch die neue Entwicklung HANA ersetzen. Und SAP HANA läuft ausschließlich auf Linux.
Deswegen riet das Magazin schon damals, nicht bis zuletzt mit der Umstellung des Systems zu warten – sondern sich rechtzeitig um externe Hilfe zu kümmern, sollte die eigene Expertise fehlen.
Es ist offensichtlich ein bisschen wie mit Solarenergie und Windkraft: Auch, wenn immer noch einige Ewiggestrige maulen, wird sich die sicherere, nachhaltigere (und in der Regel auch kostengünstigere!) Variante letztlich durchsetzen. FOSS also, Linux oder BSD. Wer’s selbst auf dem eigenen Computer schon mal ausprobieren möchte: Fast alle Linux-Distributionen bieten die Möglichkeit, eine DVD mit dem kompletten OS zu brennen (oder auf einen USB-Stick zu kopieren), mit der alles getestet werden kann. Das installierte Windows (oder MacOS) bleibt unberührt. Die Website distrowatch.com listet hunderte solcher Distributionen. Da dürfte für jede*n was dabei sein … (In der Spalte rechts außen zeigt das »Page Hit Ranking«, welches momentan die beliebtesten sind. Pro-Tips: Ubuntu ist das robusteste und verbreitetste, also findet man auch am leichtesten Hilfe, wenn mal was nicht klappen sollte, und Zorin erinnert optisch am meisten an Windows, macht den Umstieg also besonders leicht.)