Cyberbedrohungen nehmen in Europa und weltweit zu. Die europäischen Regierungen reagieren richtigerweise darauf, indem sie Cybersicherheit, Datenschutz und sichere Arbeitsplatzkulturen stärker in den Mittelpunkt rücken – wie etwa mit der NIS-2 Richtline. Dabei ist es jedoch von entscheidender Bedeutung, dass die Behörden ein häufig verborgenes, aber ganz zentrales Risiko berücksichtigen: Das Risiko der Monokultur in Cybersystemen.
„Monokultur“ ist ursprünglich ein biologischer Begriff, der sich auf eine Population von Pflanzen oder Tieren bezieht, die sich genetisch zu sehr ähneln – fast immer ein Rezept für Ernteausfälle oder einen katastrophalen Populationsrückgang. Eine einzige Krankheit kann so eine ganze Population auslöschen. Mangelnde Vielfalt ist aber nicht nur biologisch riskant. Monokulturen können sich auch als großes Problem für die Industrie, das Finanzwesen und vor allem für Regierungen erweisen. Besonders Letztere entscheiden sich häufig dafür, ihre Lieferketten und Beschaffungswege zu simplifizieren, weil eine einzige Quelle einfacher zu handhaben und oft auch effizienter ist.
Die Problematik hinter dieser Strategie wurde in den vergangenen Jahren sehr deutlich. So haben Monokulturen die beispielsweise durch die COVID-19-Pandemie verursachte Unterbrechungen der Lieferketten und die durch den Krieg in der Ukraine ausgelöste Energiekrise dramatisch verschärft. In beiden Fällen erwies sich die übermäßige Abhängigkeit von einem einzigen Partner – China bei der Technologie und Russland beim Gas – als große Schwäche.
Naheliegende Beweggründe, großes Risiko
Auch bei den Cybersystemen verwendet fast jede Organisation, von großen internationalen Konzernen bis hin zu kleinen Kommunalbehörden, eine nahezu reine Informationstechnologie-Monokultur – ein Betriebssystem, einen E-Mail-Server, ein Paket von Client-Management-Software und so weiter. Es liegt nahe, warum Organisationen bei der Auswahl von Technologieanbietern diese Monokulturen bevorzugen. Denn es läuft meist auf ein einziges Wort hinaus: Kosten. Einfacher ist billiger; eine Diversifizierung der Operationen kann Zeit und Geld kosten.
Cloud- und IT-Anbieter sind sich dessen bewusst und haben sowohl Privatunternehmen als auch Regierungen mit Bündelungstaktiken ins Visier genommen, um die Entstehung von IT-Monokulturen zu fördern. Erst vergangenes Jahr wurde Microsoft beispielsweise dabei erwischt, wie sie höhere Gebühren von europäischen Kunden verlangten, wenn sie Daten in den Clouds ihrer Konkurrenten speicherten. Kurz gesagt, Microsoft hat einen finanziellen Anreiz für Kunden geschaffen, sich in eine IT-Monokultur zu begeben.
höheres Risiko für Regierungen
Zugegeben, für die meisten Unternehmen und vor allem Privatpersonen ist das Risiko einer IT-Monokultur überschaubar. Die Bequemlichkeit eines einzigen Systems überwiegt in diesen Fällen die Kosten der Diversifizierung und die potenziellen Kosten eines Cyberangriffs.
Das gilt jedoch nicht für Regierungssysteme, die die Kritische Infrastruktur der nationalen Sicherheit und Verteidigung bilden und vertrauliche Steuer-, Wohn- und Gesundheitsdaten der Bürger speichern. Der Grund hierfür sind die sensiblen Daten, die auf den Clouds, Servern und Geräten von Behördenmitarbeitern gespeichert sind. Sie stellen eine Goldgrube für kriminelle Akteure dar, die versuchen, hohe Lösegelder zu erpressen. Auch Hacker im Auftrag konkurrierender oder feindlicher Staaten, die Zugang zu geheimen Informationen suchen, haben Regierungsbehörden jüngst verstärkt ins Visier genommen. IT-Monokulturen machen Hackern aller Art dabei das Leben leicht – eine einzige Schwachstelle kann als Einfallstor in das gesamte System genutzt werden.
Ein Weckruf für Europa
Ein Paradebeispiel dafür ist der weltweite Solarwinds-Angriff des russischen Auslandsgeheimdienstes. Die ausgenutzten Schwachstellen führten zu Datenschutzverletzungen bei großen deutschen Unternehmen wie Gillette Deutschland, Siemens und Deutsche Telekom und hatten direkte Auswirkungen auf sechs wichtige EU-Agenturen. Auch in den Vereinigten Staaten, wo mehr als 85 Prozent der Büroproduktivitätstechnologie der Regierung auf Microsoft Office 365 basieren, wurden einige der wichtigsten Behörden angegriffen.
In einem Bericht des Weltwirtschaftsforums aus dem Jahr 2021 wird Deutschland nach den USA, Großbritannien und Indien als das am vierthäufigsten gehackte Land der Welt eingestuft. Vor allem im vergangenen Jahr haben die Cyberangriffe dabei an Zahl und Intensität zugenommen – eine direkte Folge des anhaltenden russischen Angriffskrieges in der Ukraine. Erst im Januar berichtete das Bundesamt für Sicherheit im Internet (BSI), dass russische Gruppen gezielt deutsche Regierungsstellen und Finanzinstitute mit DDoS-Attacken ins Visier genommen haben, ein Vergeltungsschlag für die zugesagte Lieferung deutscher Leopard-Panzer an die Ukraine.
Auch wenn der Angriff keine gravierenden Auswirkungen hatte, sollte er ein Weckruf für europäische Beamte sein. Sie müssen wachsam sein und ihre Regierungssysteme genau unter die Lupe nehmen, vor allem im Hinblick auf die Risiken einer IT-Monokultur. Regierungsstellen mit kritischen und sensiblen Informationen wären gut beraten über mehrere Kollaborations- und Kommunikationssysteme verschiedener Anbieter zu verfügen. Das wird sicherlich einige Effizienzprobleme mit sich bringen – doch das Risiko einer IT-Monokultur innerhalb kritischer Systeme wiegt ungleich schwerer.
Paul Rosenzweig ist Principal und Gründer des Beratungsunternehmens Red Branch Consulting, das sich auf Beratung in den Bereichen innere Sicherheit und Datenschutz spezialisiert hat. Er ist Professor für Recht an der George Washington University und Senior Fellow im Programm für Technik, Recht und Sicherheit an der American University, Washington College of Law. Zuvor war er Deputy Assistant Secretary for Policy im Ministerium für Heimatschutz.
