Microsoft macht EU für weltweiten IT-Ausfall verantwortlich

Microsoft hat die Europäische Union für einen weltweiten IT-Ausfall verantwortlich gemacht, von dem nach eigenen Angaben 8,5 Millionen Windows-Geräte betroffen waren. Der US-amerikanische Softwarekonzern „kann sein Betriebssystem aufgrund einer Vereinbarung, die er mit der Europäischen Kommission nach einer Beschwerde getroffen hat, nicht auf die gleiche Weise abschirmen wie Apple“, sagte ein Microsoft-Sprecher dem Wall Street Journal.

Die Ausfälle seien aufgetreten, weil die EU Microsoft daran gehindert habe, externe Softwareanbieter wie das texanische Cybersicherheitsunternehmen CrowdStrike vom „God tier“-Zugang zu seinem Windows-Betriebssystem auszuschließen, argumentiert das Unternehmen. „Im Jahr 2009 erklärte sich Microsoft bereit, Herstellern von Sicherheitssoftware wie CrowdStrike den gleichen Zugang zu Windows zu gewähren wie Microsoft“, so der Microsoft-Sprecher weiter.

Microsofts Kommunikationsleiter Frank Shaw zitierte daraufhin den Kommentar des Sprechers auf X.

CrowdStrike hat am 19. Juli ein Update für Geräte, die seine Antivirensoftware verwenden, herausgegeben, aber leider enthielt das Update „einen Fehler“, räumte der Geschäftsführer des Unternehmens George Kurtz ein. „Crowdstrike (und andere) haben eine sehr privilegierte Position im Microsoft-Betriebssystemstapel“, erklärt Ross Brewer, Geschäftsführer der Softwarefirma Graylog, gegenüber Brussels Signal. „Die Wahrheit ist, dass mit großer Macht auch große Verantwortung einhergeht“, so Brewer.

„Microsoft hat höchstwahrscheinlich kein Programm für Echtzeittests der täglichen (unter bestimmten Umständen vielleicht stündlichen) Updates von CrowdStrike“, fügte er hinzu. CrowdStrike „rettet die Welt jeden Tag“ vor Hackern, „bis zu dem Tag, an dem jemand das Update nicht ordnungsgemäß durchführt und es veröffentlicht, so dass alle einen blauen Bildschirm haben“, so Brewer. „Die letzte Woche war eine schlechte Woche, in der das Heilmittel schlimmer war als die Ursache“, sagte er.

Die Agenten von CrowdStrike „erfordern die Installation und Wartung von Software auf mehreren verschiedenen Betriebssystemen, was die Komplexität erhöht und potenzielle Fehlerquellen schafft“, so Al Lahkani, Leiter der Cybersicherheitsfirma IDEE, gegenüber Brussels Signal. Das bedeutet, dass sie zu einem einzigen Ausfallpunkt werden können, da ein fehlerhaftes Update das gesamte Netzwerk gefährden kann“, erklärte er.

Der Absturz, der sich auf 8,5 Millionen Geräte ausbreitete, verursachte ein weltweites Chaos. Insgesamt wurden rund 5.000 Flüge gestrichen, Fernsehsender waren nicht mehr zu empfangen und Ärzte konnten nicht auf die Krankenakten ihrer Patienten zugreifen.

Microsoft argumentiert, dass all diese Ausfälle entstanden sind, weil die EU von Microsoft verlangt hat, Unternehmen wie CrowdStrike uneingeschränkten Zugang zu Geräten mit Windows zu gewähren. „Wir können das Ziel der EU, den Wettbewerb in der Technologiebranche zu fördern, durchaus nachvollziehen, aber wenn dies auf Kosten von Verbrauchern und Unternehmen geht, können die Folgen verheerend sein – wie wir beim Debakel mit dem blauen Bildschirm des Todes gesehen haben“, so der in New York ansässige Berater Glen Gilmore gegenüber Brussels Signal.

„Regulatorische Beschränkungen, die die Wahlfreiheit bei technischen Dienstleistungen einschränken, können leicht genau die Menschen und Einrichtungen entmündigen und schädigen, die sie eigentlich schützen sollen“, fügte er hinzu. Im Jahr 2009 versprach Microsoft der Europäischen Kommission, anderen Herstellern von Sicherheitssoftware vollständigen Zugang zu seinem Windows-Betriebssystem zu gewähren (auch „Kernel“ oder umgangssprachlich „God mode“ genannt).

Die Vereinbarung wurde getroffen, um eine Wettbewerbsbeschwerde der Europäischen Kommission beizulegen, nachdem Microsoft 2007 ein Gerichtsverfahren in dieser Angelegenheit verloren hatte.
Sie besagt Folgendes: „Microsoft stellt sicher, dass Softwareprodukte von Drittanbietern mit den relevanten Softwareprodukten von Microsoft zusammenarbeiten können, indem sie dieselben Interoperabilitätsinformationen verwenden wie andere Microsoft-Softwareprodukte.“

Kritiker wiesen darauf hin, dass Microsoft im Rahmen der Vereinbarung immer noch eine API außerhalb des Kernels (eine Softwareschnittstelle, über die zwei Programme miteinander kommunizieren können) hätte schaffen können, die es und die Hersteller von Sicherheitssoftware von Drittanbietern hätten nutzen können. Dies hätte einen sichereren Ansatz geboten, so die Experten, und gleichzeitig die Gleichstellungsklausel in der Vereinbarung mit der EU eingehalten.

Microsoft „hat hier in gewisser Weise Recht“, sagte Ciaran Martin, ein Akademiker aus Oxford, der früher Leiter des britischen National Cyber Security Centre war. Er fügte hinzu: „Ich bin mir nicht sicher, ob die globale IT-Katastrophe vom Freitag durch den ungeschickten Versuch der EU vor 15 Jahren verursacht wurde, unsere monopolistischen Ambitionen auf dem Cybersicherheitsmarkt einzudämmen“, ist das schlagende Argument, für das das Unternehmen es zu halten scheint.

Ein Informatiker beklagte sich am 19. Juli gegenüber der BBC: „Schieben Sie nie ein Update an einem Freitag.“ Der Ausfall führte dazu, dass etwa 8,5 Millionen Geräte in einer sogenannten Bootschleife stecken blieben und war der größte Cybercrash-Vorfall aller Zeiten. Zum Vergleich: Der WannaCry-Ransomware-Angriff von 2017, der mit der nordkoreanischen Lazarus-Gruppe in Verbindung gebracht wird, betraf nur 200.000 Computer.

Da es der Cybersicherheitsbranche nicht gelungen ist, Ransomware-Angriffe wie WannaCry zu verhindern, „hat sie so weit versagt, dass sie aus offensichtlicher Notwendigkeit Administratorenzugriff auf fast jeden PC der Welt hat“, so Kevin Beaumont, Direktor für neue Bedrohungen bei der Arcadia Group. Eine „kleine Gruppe privater Cybersicherheitsunternehmen ohne externe Kontrolle oder Sicherheit“ wie CloudStrike habe es geschafft, „die Schlüssel zum Königreich – im Grunde zur Weltwirtschaft – zu bekommen“, indem sie Regulierungsbehörden wie die EU davon überzeugt hätten, dass sie den „Gottesmodus“ benötigten, sagte er.

Standards und Vorschriften für die Softwaresicherheit werden in der EU und anderswo von „einer kleinen Gruppe von Cybersicherheitsanbietern festgelegt, die in Wirklichkeit den Regierungen und Industriegruppen ins Ohr flüstern“, fügte Beaumont hinzu. Daher seien Unternehmen „nur ein schlechtes Cyber-Update davon entfernt, die Kontrolle über ihr Unternehmen zu verlieren“, schloss er.

Die Kontroverse über den Ausfall hat jedoch nicht dazu geführt, dass die EU bei der Regulierung der Technologiebranche eine Pause einlegt. Am 22. Juni erklärte die EU-Kommission, dass der Tech-Gigant Meta seine Kunden in die Irre führe, indem er Facebook und Instagram als „kostenlos“ bezeichne, obwohl das Unternehmen in Wirklichkeit die Daten der Nutzer an Werbekunden verkaufe. Dies seien „hinterhältige Praktiken, die die Verbraucher in die Irre führen“, sagte Věra Jourová, die für Werte und Transparenz zuständige Vizepräsidentin der Kommission.

Microsoft hat bis zum 1. September 2024 Zeit, der Europäischen Kommission und ihrem Kooperationsnetz für Verbraucherschutz zu antworten und Lösungen vorzuschlagen, sonst drohen Geldstrafen und Vollstreckungsmaßnahmen. „Abonnements als Alternative zur Werbung sind ein etabliertes Geschäftsmodell in vielen Branchen“, so ein Meta-Sprecher gegenüber Brussels Signal.
„Das werbefreie Abonnement folgt dem höchsten europäischen Gericht und wir sind zuversichtlich, dass es mit den europäischen Vorschriften übereinstimmt“, fügte der Sprecher hinzu.

Brussels Signal hat sich an Microsoft gewandt und um eine Stellungnahme gebeten.

Dieser Beitrag erschien zuerst bei brusselssignal.de.