In vielen Unternehmen und Behörden kommen weiterhin Softwarelösungen zum Einsatz, über deren Sicherheit die IT-Verantwortlichen keine Kontrolle haben. Denn bei ihren proprietären Angeboten lassen sich die Tech-Riesen aus Übersee nicht gerne in die Karten gucken. Kommt es zu einer Sicherheitslücke, ist man als Kunde auf schnelles Handeln des Anbieters angewiesen. Das ist aus vielerlei Sicht problematisch. Denn in der Zuschauerrolle sind einem nicht nur die Hände gebunden. Man bekommt auch nur das mit, was der Anbieter offen kommuniziert - oder was andere offenlegen.
Aktuelles Beispiel: Als eine US-Behörde verdächtige Zugriffe auf ihre E-Mails registrierte und im Juni Microsoft über die Vorgänge in ihren Online-Exchange-Konten informierte, machte sich der IT-Riese ganz klein und gab nur häppchenweise das bekannt, was unvermeidbar war. Offenbar hatten sich Angreifer aus China Zugriff auf das von Microsoft gehostete Exchange Online verschafft. Betroffen waren vor allem europäische Regierungsbehörden.
Berechtigte Panik
Die Panik, die diese Meldung bei Behörden und Unternehmen auslösen dürfte, ist berechtigt. Schließlich sind sie auf ein schnelles und umfassendes Handeln von Microsoft angewiesen. Dies blieb jedoch aus. Stattdessen sind es abermals Dritte, die versuchen, ein wenig Klarheit in die Angelegenheit zu bringen.
Denn mittlerweile hat es das Sicherheitsunternehmen Wiz geschafft, den gestohlenen Microsoft-Key zu identifizieren. Das Problem ist demnach noch deutlich größer als befürchtet. Laut Wiz hätten die Angreifer Zugriff auf nahezu alle Microsoft-Cloud-Anwendungen erlangen können, also etwa auch auf Sharepoint oder Teams. Sogar Apps in der Cloud mit "Login with Microsoft" könnten offenbar leichte Beute gewesen sein. Microsoft hat dies bislang weder zugegeben noch dementiert, was tief blicken lässt.
Einige Behörden als Vorreiter
Trotz derartiger Sicherheitslücken - und trotz der schockierenden Reaktion seitens des Anbieters - kommen Lösungen wie Microsoft 365 weiterhin in den meisten Behörden und Unternehmen zum Einsatz. Mancherorts hat allerdings bereits ein Umdenken stattgefunden. Bemerkenswerterweise sind es vor allem Behörden und einzelne Bundesländer, die hier eine Vorreiterrolle einnehmen. So ist beispielsweise in Thüringen und Schleswig-Holstein sogar im E-Government-Gesetz verbindlich geregelt, dass Open-Source-Software und offene Standards bei der Beschaffung Vorrang haben.
Unter Experten ist es unstrittig, dass quelloffene Open-Source-Lösungen am sichersten sind, da sie für die autorisierten IT-Mitarbeiter Transparenz und zugleich Flexibilität bieten - und damit eben auch mehr Sicherheit. Wie sich am Microsoft-Debakel zeigt, lässt sich die Sicherheit der eingesetzten Software schließlich nur dann kontrollieren, wenn die Kontrolle über die eingesetzte Lösung tatsächlich in den eigenen Händen und nicht beim Anbieter liegt.
Mit Best-of-Breed-Ansatz zur digitalen Souveränität
Darüber hinaus lässt sich die digitale Souveränität für Unternehmen und Behörden mit Open Source auch deshalb leichter erzielen, weil keine langfristigen Abhängigkeiten von einzelnen Anbietern bestehen. Mit dem Best-of-Breed-Ansatz lassen sich die einzelnen Bereiche und Module je nach Bedarf individuell zusammenstellen. Beim digitalen Arbeitsplatz DPhoenixSuite kommen die Module E-Mail, Kontakte und Kalender zum Beispiel vom deutschen Anbieter Open-Xchange, während andere Komponenten wie Video-Calls oder die Speicherung von sensiblen Daten von anderen europäischen Open-Source-Anbietern abgedeckt werden.
Letztlich sind die einzelnen Bausteine also austauschbar, sollte sich der Bedarf - oder die Zufriedenheit - im Laufe der Zeit ändern. Bei den proprietären Lösungen von US-Anbietern ist dies nicht möglich, wie nun einige europäische Behörden schmerzhaft feststellen mussten. Womöglich waren bei den jüngsten Attacken auch nicht nur Regierungs-Mails das Ziel der Hacker. Es ist nicht auszuschließen, dass weitere Teile der Microsoft-Cloud betroffen sind. Ob dem so ist, weiß neben den Hackern allerdings höchstens noch Microsoft. Darauf vertrauen, dass der Anbieter der ach so vertrauten Lösungen etwaige Sicherheitsprobleme offen kommunizieren würde, sollte man eher nicht. (mb)