Katastrophenfall in Sachsen-Anhalt: Symptom eines terminal erkrankten Systems
Aktuelle Updates siehe Ende des Beitrags.
Ja, echt, Katastrophenfall! Was ist geschehen?
Hitzewelle, Wasserknappheit, Überschwemmung? Corona-Inzidenz dank Epsilon bei 100.000? Feuersbrunst? Erdbeben? Vulkanausbruch, Meteoriteneinschlag, Zombie-Apokalypse?
Nichts dergleichen. Kein klassisches Hollywood-Desaster. Der Katastrophenfall von heute, der was auf sich hält, ist ein Cyberangriff mit Ransomware!
Der Cyber-Angriff auf den Landkreis Anhalt-Bitterfeld hat Auswirkungen auf alle Bereiche der Kreisverwaltung. Das hat Landrat Uwe Schulze (CDU) am Freitagnachmittag auf einer Pressekonferenz erklärt. Anliegen der Bürgerinnen und Bürger könnten derzeit nicht bearbeitet werden. Das könne unter Umständen gravierende Auswirkungen haben, zum Beispiel für Sozialhilfeempfänger.
Okay, ich gebe zu, das ist tatsächlich sehr beschissen. Das hat reale, teilweise existenzbedrohende Auswirkungen auf die Bürger.
Und wie war dieser Cyberangriff möglich?
Derzeit werde eine Microsoft-Sicherheitslücke bei den Druckern vermutet.
Seit 6. Juli ist offiziell ein Sicherheitsproblem im Druck-Spooler bekannt, siehe auch. Das Problem hat man allgemein als so heftig eingestuft, dass sofortiges Handeln erforderlich war. Ob hier die Behörden-Kollegen schnell genug gehandelt haben oder nicht, werden wir wohl ebenso wenig erfahren wie die Antwort auf die Frage, ob diese Sicherheitslücke wirklich das Problem war, oder ihr zeitlich günstiges Auftreten eine sehr willkommene Ausrede ermöglichte, die von einem Totalversagen an anderer Stelle ablenkt.
Ich bemühe mich, aus diesem beschissenen Katastrophenfall einen positiven Aspekt herauszuziehen: Je öfter es kracht, je mehr Menschen leiden müssen, je teurer es wird, desto wahrscheinlicher sollte es eigentlich sein, dass dieser ganze architektonische Unfug mit Microsoft-Hörigkeit in Frage gestellt und vielleicht sogar mal abgelöst wird. In irgendeiner fernen Zukunft.
Man muss allerdings auch sagen: Microsoft allein ist nicht das Problem. Wenn ich mir anschaue, was an "IT-Experten" in den Behörden so arbeitet, sehe ich (Ausnahmen bestätigen die Regel) Microsoft-assimilierte Windows-Verwalter, deren Horizont prinzip-/jobbedingt eingeschränkt ist. Will ich den Einzelnen gar nicht zum Vorwurf machen, die sind als Rädchen gefangen im System und versuchen auch nur, mit den Mitteln, die ihnen gegeben wurden - sowohl hinsichtlich Toolbox als auch Know-how - das Bestmögliche zu erreichen. Manchmal kommen Leute von "außen aus der echten Welt" ins Behördensystem und lassen sich entweder abstumpfen und zum Rädchen kleinschleifen, nehmen den Irrsinn in Kauf und sind dankbar für einen sicheren Arbeitsplatz. Oder sie geben nach einer Weile verzweifelt auf, weil sie sich dauernd im Getriebe verkeilen, und suchen ihr Glück woanders.
Gesetzt den Fall, man käme auf die Idee, zukünftig auf Open Source z.B. mit UNIX-Derivaten zu setzen, müssten Generationen von Programmierern, Administratoren und Anwendern umgeschult, weitergebildet, MOTIVIERT oder ausgemustert werden. Von den Kosten für neue Software und ggf. angepasster Infrastruktur mal gar nicht zu reden. Das, behaupte ich, ohne es akut mit Zahlen belegen zu können, wäre alles zumindest mittelfristig weit teurer als ein allmonatlicher Ransomware-Ausfall in ein paar Landkreisen. Und bloß weil Verwaltungen Linux einsetzen, heißt das nicht, dass man diese Netze nicht auch knacken kann. Man müsste Leute einstellen, die ihr Handwerk wirklich verstehen, auch mal den Mut und die Befugnis haben, Nein zu sagen und über den Tellerrand hinaus Interesse zu zeigen. Zudem würde es bedeuten, Verantwortung auf sich zu nehmen und nicht irgendwelche externen Consultants/Evangelisten der Hersteller als Rechtfertigung für Entscheidungen zu nehmen, die ihrerseits jede Verantwortung von sich weisen und nur "beraten". Denn diese Berater sind im Zweifel ahnungsloser als die Windows-Verwalter in den Behörden, die zumindest mit realen Fragestellungen und kniffligen Alltagsproblemen konfrontiert werden.
Die Fingerzeig-Kreis der Schuldigkeit verläuft so:
- Behörden und Entscheider: Nix schuld. Wir zahlen viel Geld und haben uns auf den Hersteller verlassen.
- Hersteller Microsoft (stellvertretend für die Branche): Nix schuld. Software-Problem. Wir schreiben Ihnen das Programm, aber es gibt keine Garantien für Datenschutz oder Sicherheit. Wo kämen wir denn da hin, wenn wir noch die Qualität unseres Produkts verantworten müssten.
- Russinesische Hacker: Nix schuld. Wenn ihr zu blöde seid, eure IT abzusichern, ist das nicht unser Problem. Jetzt schieb die Ransomkohle endlich rüber, oder ich verschlüssel obendrein deine Haustür!
Die Steuerzahler oder indirekt auch die Sozialhilfeempfänger bezahlen dann die Rechnungen, die Microsoft an die Behörden ausstellt, um die Symptome des terminal kranken Systems zu behandeln.
Ich warte auf den großen Knall, der jene politische Entscheidungsträger aus dem Verkehr zieht, die Sachverstand geflissentlich ignorieren. Denn Sachverstand, der prüfen, hinterfragen, kritisieren oder gar verhindern will, steht dem Gebot der Selbstbereicherung in der Regel diametral entgegen. Das Credo der deutschen Politiker: Leuchtturm-Projekte ersinnen (lassen), sich Denkmäler setzen (lassen), Karriereleiter erklimmen. Schnell muss es gehen, egal wie. Wenns hintenrum um die Ohren fliegt, ist der Zuständige längst woanders und sowieso nie verantwortlich gewesen.
Wer mir auch nur EINEN relevanten, führenden Landes- oder Bundespolitiker in Deutschland nennen kann, dem man dieses Credo nicht anheften muss, dem sei im Voraus herzlich gedankt. Ich würde gerne Bescheid wissen, wer das ist.
Der Weg aus der Misere?
Der Weg wäre steinig, sehr steinig. Die IT-Infrastruktur in deutschen Behörden ist in weiten Teilen so kaputt und vom MS-Virus durchseucht, dass es ein Jahrzehnt benötigen würde, sich davon zu lösen und was auf die Beine zu stellen, das sowohl datenschutz- als auch sicherheitstechnisch vorteilhaft wäre gegenüber dem Status Quo. Und es würde sofortiges Handeln voraussetzen, sonst wird das mit dem einen Jahrzehnt nix.
Es gibt durchaus Bestrebungen im Kleinen. Siehe hier. Aber das sind alles Peanuts.
Der erste Schritt, lange vor allem anderen, wäre: Korruption unattraktiv machen. Wie auch immer, da habe ich absolut keine Idee. Erst dann werden die Entscheidungsträger den Lobbygruppen von MS & Co. die Stirn bieten und Nein sagen. Erst wenn Sachverstand und Kompetenz wieder die höchste Priorität haben und belohnt werden, und nicht schnelle Bullshit-Projekte, gibt es die Chance auf Besserung.
Zweiter Schritt: Fingerzeig-Kreis der Schuldigkeit durchbrechen und gesetzliche Grundlagen schaffen bzw. ändern. Wer problematische oder falsche Entscheidungen trifft, muss dafür gerade stehen. Wer mangelhafte Produkte ausliefert, muss dafür gerade stehen. Im Zweifel bedeutet das tatsächlich: "Fortschritt" verlangsamen, IT-Systeme stärker abschotten, Komplexität, Vernetzung und Datensammelei reduzieren. Denn dann passieren auch viel weniger gravierende Fehler.
Dritter Schritt: Systembasis schaffen, die keine absolute Abhängigkeit von Dritten schafft. Das bedeutet, entsprechende IT-Kompetenz in den Behörden aufzubauen und zu behalten und nicht dem Insourcing-Outsourcing-Wellenrhythmus zu folgen.
Diese Wellenbewegung läuft so: Man entwickelt alles intern und stellt irgendwann fest, dass Outsourcing vermeintlich billiger ist. Dann fliegt einem irgendwann das von Extern Entwickelte um die Ohren und man macht wieder alles selbst. Dann wird's wieder zu teuer, Outsourcing, Insourcing, Outsourcing... ad infinitum.
Hmhm. Ich seh' schwarz. Der große Knall wird zu meinen Lebzeiten eh nicht mehr kommen. Also lieber bei MS bleiben. Da weiß man, was man hat, auch wenn's totale Scheiße ist und absurd viel Geld kostet. Geradestehen muss dafür eh niemand, also was soll's.
EDIT1: Nach einer Weile Draufrumkauen habe ich beschlossen, mein Geschreibsel massiv zu erweitern, wer also die erste, kürzere Version des Beitrags gesehen hat und sich wundert: Bitte um Entschuldigung, das war mir noch nicht ausholend genug.
EDIT2: Ergänzung zu Schritt 1 oben - bei den nächsten Wahlen im Herbst mal überlegen, ob die etablierten "Volksparteien" (also leider im Prinzip alle, die im Parlament vertreten sind) die Richtigen sind für diesen Schritt.
EDIT3: Kleines Update vom 16.07.2021 bzgl. dem Katastrophenfall: Weil die Behörde das Erpressungsgeld nicht zahlen wollte, sind wohl ein paar Daten als Warnschuss veröffentlicht worden. Muss hier ausnahmsweise Golem als Quelle verlinken, auch wenn es mir widerstrebt wegen deren Cookiewall, die euch zwingen will, Tracking zuzulassen.
EDIT4: Katastrophenfall aufgehoben. Sieben Monate später.