Wie die USA den Europäern den digitalen Stecker ziehen könnten
„Wenn Microsoft auf den Knopf drückt, stehen die Öffis“, warnte der Staatssekretär für Digitalisierung, Alexander Pröll, vor einigen Wochen im profil-Interview. „Es ist alles gut, solange auf der anderen Seite des Atlantik die Sonne scheint. Das Problem ist, wenn sie untergeht“, so der Cybersecurity Experte Joe Pichlmayr. „Digitale Abhängigkeit ist nicht nur, was mit unseren Daten passiert. Sondern auch, dass plötzlich unsere Services gekappt werden könnten“, sagt die Expertin für kritische Infrastrukturen, Johanna Ullrich. Diese Zitate fassen die Stimmung in Europa gerade gut zusammen.
Der Kontinent ist aufgewacht: Mit einem unberechenbaren Präsidenten wie Donald Trump an der Spitze der USA wächst das Bewusstsein dafür, wie abhängig die Europäer sind. Auch, oder vielleicht vor allem, im digitalen Raum. Ämter, Öffis, Banken, sie alle laufen zumindest teilweise mit Software von US-Tech-Giganten, haben ihre Daten auf ihren Servern gespeichert und sind auf ihren Support angewiesen. Doch nun wird das Damokles-Schwert über den Köpfen der Europäerinnen und Europäern sichtbar. Die Angst vor einem sogenannten „Killswitch“-Szenario wächst. Soll heißen, die USA drücken auf einen Knopf und das Leben steht. Die gute Nachricht: So einfach geht das nicht. Die schlechte Nachricht: Die Gefahr ist trotzdem real, wenn auch über Umwege.
Wie die USA Kampfjets lahmlegen könnten
Es gibt einen guten Grund, warum ausgerechnet das Bundesheer auf freie Software umgestiegen ist. Open Source-Software bedeutet, jede und jeder kann den Code sehen und verändern. Anders als bei der sogenannten proprietären Software, in der vielleicht Hintertüren zur Überwachung, Spionage und für externen Zugriff eingebaut sind. „Das Bundesheer muss funktionieren, auch wenn alltägliche Infrastruktur nicht mehr zur Verfügung steht. Daher ist es wichtig, Systeme einzusetzen, die möglichst ohne technische und sonstige externe Abhängigkeiten funktionieren“, erklärt das Verteidigungsministerium.
Trotzdem bleibt es abhängig: Zum Beispiel beim Militärgerät. Erst heuer kochte die Debatte rund um einen möglichen Killswitch bei europäischen Kampfjets wieder hoch. Den magischen Schalter gibt es zwar nicht, mit dem die USA die gesamte europäische Flugflotte inklusive Eurofighter lahmlegen könnten. Trotzdem können sie theoretisch Funktionen einschränken. Heiß diskutiert wurden die F-35-Jets. Sie sind laut Fachleuten stark abhängig vom US-kontrollierten Wartungs- und Logistiksystem und nutzen eine cloudbasierte Software-Infrastruktur. Eine „Fernabschaltung“ ist laut allen Erkenntnissen nicht eingebaut. Die strategische Gefahr liegt aber darin, dass der Hersteller, beziehungsweise die USA, durch den Entzug von Wartung, Ersatzteilen und Software-Support die langfristige Einsatzfähigkeit einer Flotte untergraben können.
DSN warnt vor Versorgungsengpässen und Ausfällen
Wenn viele Systeme mit dem gleichen Anbieter laufen, macht sie das alle vulnerabel. „Wir haben eine wahnsinnige Zentralisierung, quer durch alle Gebiete“, sagt Johanna Ullrich, sie beschäftigt sich mit kritischen Infrastrukturen bei SBA Research, einem Forschungszentrum für Informationssicherheit. Wenn Sie sich etwa fragen, wieso vergangene Woche die profil-Website kurzzeitig offline war, das lag an einem globalen Ausfall des Anbieters Cloudflare, von dem hunderte Websiten betroffen waren.
Ullrich fasst es – in einem Gespräch geführt über Microsoft Teams – so zusammen: „Dass wir beide jetzt Teams verwenden, ist wahrscheinlich gar nicht so das Problem.“ Denn es gibt schließlich auch noch Alternativen. Anders bei anderen, sogenannten kritischen Infrastrukturen. Es geht um Diversifizierung, also dass ein einzelner Ausfall nicht das gesamte System lahmlegt. Viele Airlines nutzen zum Beispiel ein globales Reservierungs- und Ticketingsystem. Wenn dieses ausfällt, funktioniert der Check-In nicht mehr, das Boarding, es kommt zu Umleitungen und Verspätungen. Weite Teile des Flugverkehrs stehen also, obwohl die Flugzeuge selbst völlig intakt sind. Genau deswegen ist es wichtig, dass Wasserversorger, Strom, Öffis mit mehreren Sicherheitsschranken laufen.
Weil es aber in vielen Bereichen eben gar nicht so viele Anbieter gibt, ist es schwierig, IT-Systeme, Daten und Abläufe zu verteilen und abzusichern. Darauf verweist auch die Direktion für Staatsschutz und Nachrichtendienst (DSN). Gerade in geopolitisch-instabilen Zeiten ist dieses Monopol besonders gefährlich. Die Bandbreite der Auswirkungen würde von der Gefährdung der wirtschaftlichen Existenz eines Einzelunternehmens bis hin zu Versorgungsengpässen in bestimmten Sektoren und volkswirtschaftlichen Ausfällen reichen, warnt die DSN. Dazu, auf welche Anbieter man sich in der DSN stützt, könne man sich nicht äußern, heißt es auf Anfrage.
Neben Betriebssystemen und Software geht es auch um den Speicher von Daten, um die Clouds. Auch hier birgt die Zentralisierung Risiken. Schränken Anbieter den Zugriff auf die Clouds ein, haben Spitäler möglicherweise keinen Zugriff mehr auf gespeicherte Patientendaten, Online-Bezahlsysteme funktionieren nur eingeschränkt, die Logistik gerät ins Stocken. Trotzdem gilt: Die Rettungsautos können noch fahren, das MRT-Gerät noch scannen, aber die Verwaltung dahinter ist beeinträchtig.
Wie stark die Auswirkungen eines Cloud-Ausfalls auf die kritische Infrastruktur wäre, weiß derzeit niemand, sagt der Jurist Nikolaus Forgó zu profil. Denn es ist unklar, was in Clouds ausgelagert wurde. Klarheit könnte erst die EU-Cybersicherheitsrichtlinie NIS 2 bringen, die Österreich schon vor einem Jahr umsetzen hätte müssen, aber säumig geblieben ist. Mit dem letzten Ministerrat am 20. November wurde die Umsetzung nun endlich auf den Weg gebracht.
„Bis dahin stochern wir alle im Nebel“, so der Professor für Technologie- und Immaterialgüterrecht an der Universität Wien. Wirklich klar wird das Ausmaß wohl erst werden, wenn der Zugang wirklich nicht mehr funktioniert und der Ernstfall eintritt.
Zugriff: verweigert
Beispiele von direktem Eingriff durch die USA auf Einzelpersonen gibt es zahlreiche: das bekannteste ist das des Chefanklägers des Internationalen Gerichtshof (ICC) Karim Khan. Er wurde nach US-Sanktionen von seinem Outlook-Konto ausgesperrt, auch wenn Microsoft das bestreitet. Der ICC ist jetzt übrigens ebenfalls auf freie Software umgestiegen.
Aber es trifft nicht nur so große Kaliber, Vorfälle von Microsoft-Kundschaft, die keinen Zugriff mehr auf Microsoft-Produkte erhalten, sind gut dokumentiert. Größere Wellen geschlagen hat der Fall eines Entwicklers für Libre-Office, einer freien Software, der auf seine Hotmail-Adresse nicht mehr zugreifen konnte.
Rechtliche Grundlage dafür ist der sogenannte Cloud-Act, auf richterliche Anweisung müssen Konzerne mit Firmensitz in den USA Nutzerdaten an die Behörden weitergeben. Microsoft versucht bei diesem Thema zu beruhigen. Und bringt das Beispiel: Auch europäische Behörden stellen solche Anfragen, wie in ihren Transparenzberichten nachzulesen ist. Außerdem verweist das Unternehmen gerne darauf: Sie fechten richterliche Erlässe auch an.
Dass die US-Dominanz hier ein zweischneidiges Schwert ist, zeigt der Fall von Österreichs wohl bekanntestem Ex-Verfassungsschützer: Egisto Ott. Amerikanische Ermittler waren es, die in seinem privaten Gmail-Postfach dienstliche Dokumente finden und die BVT-Führung warnten. Einfach einmal in die Gmail-Postfächer schauen ist etwas, das europäische Geheimdienste nicht können.
Der Techgigant Microsoft versucht derweil Europa mit seinen „Digitalen Commitments" zu umgarnen, das Unternehmen verspricht, keine europäischen Daten außerhalb Europas zu speichern, mit europäischen Tech-Konzernen zusammenzuarbeiten oder geschlossene Cloud-Lösungen anzubieten. Überzeugen tut das Datenschützer nicht, die Abhängigkeit bleibe schließlich.
Schafft Europa den Wandel alleine?
Endlich erwacht Europa aus seinem Dornröschen-Schlaf, sagt Joe Pichlmayr vom Verein Cyber Security Austria. Das Problembewusstsein habe sich verbessert, stimmt auch Ullrich zu. Sie brachte etwa 2017 eine Studie heraus, wie Stromnetze angegriffen werden könnten. Die Reaktion damals: Das Szenario wurde als akademisch interessant, aber völlig unrealistisch bewertet. Das hat sich geändert. Cybersecurity geht nicht mehr nur um Kreditkartenbetrug oder Hacker, sondern darum, was passiert, wenn Staaten andere Staaten digital angreifen.
Aber, einfache Lösungen gibt es nicht. Ullrich plädiert dafür, für jeden Einzelfall Risikoanalysen zu machen: „Freie Software ist eine Lösung, die in gewissen Bereichen gut funktioniert. Aber zum Beispiel im Industriebereich, im Stromnetzbereich, muss man sich überlegen, was Sinn macht.“ Auch die ÖBB, Teil der kritischen Infrastruktur, setzt beispielsweise nicht nur auf freie Software, sondern auf einen Mix.
Staatssekretär Alexander Pröll stellte im profil-Interview vor einigen Wochen klar: Europa wird es nicht schaffen, komplett autark zu werden. Ullrich bringt einen Vergleich aus der Tierwelt: Man muss sich das vorstellen wie ein Ameisennetzwerk, es versucht jeder, lokal etwas zu verbessern, aber man richtet sich nach einem großen gemeinsamen Ziel aus.
„Müssen Preis klarmachen, wenn alles in die Cloud flutscht“
Nach dem letzten Ministerrat hat die Bundesregierung mehrere Vorhaben „zur Stärkung der digitalen Souveränität“ präsentiert. Das Bundesrechenzentrum (BRZ) solle eine „souveräne Cloud-Infrastruktur“ schaffen und heimische KI-Anwendungen unterstützen. Von der Infrastruktur dort profitiert nicht nur die öffentliche Verwaltung, sondern auch Universitäten oder das AMS.
Immer mehr Ämter, Behörden und Firmen stellen also um. Wobei es dabei auch ordentlich ruckeln kann: Im Justizministerium und bei den Gerichten wurde medial über Probleme und Hoppalas berichtet. Aber, Fachleute sind sich einig: Es muss kurzfristig unbequem werden, um langfristig eine gute Lösung zu finden. „Wir müssen den Leuten klarmachen, was der Preis dafür ist, dass alles so smooth dahinläuft und in die Cloud flutscht“, sagt Pichlmayr. Der Nutzen von digitalen Infrastrukturen sei noch zu abstrakt. „Wenn wir plötzlich keine Autobahnen mehr bauen würden, und andere Länder schon, würden die Leute ja auch sagen, wieso haben wir so etwas nicht.“
Microsoft und Co bleiben stark in Europa und Österreich. Von den börsennotierten Unternehmen in Österreich greifen 59 Prozent auf US-amerikanische Systeme zurück. Besonders abhängig: Pharma, Versicherungen, Energie-Sektor, um einige zu nennen. Also Bereiche, über die man eigentlich gerne die Kontrolle behalten wollen würde. Reichen also die EU-Bemühungen? Für den Moment sind die Europäer darauf angewiesen, dass niemand den Stecker zieht. Pichlmayer schlägt vor, auf Lösungen aus Europa zu setzen. Mit Zusammenarbeit würden es auch die vielen kleinen Player hier schaffen, gegen die großen Player aus den USA anzukommen.
