Kolumne : Wer wacht über die Wächter?

Am 19. Juli 2024 verlor Sicherheitssoftware-Anbieter Crowdstrike 30 Prozent seines Börsenwertes, nachdem weltweit rund 8,5 Millionen Windows-Systeme seiner Kunden ausfielen. Kein Angriff war es, sondern ein GAU – der größte anzunehmende Unfall. Was war geschehen? Ein fehlerhafter Patch der Crowdstrike Falcon Security Software produzierte weltweit Blue Screens. Die 1990er grüßen: „… und blau könnte Ihre Lieblingsfarbe werden.“ Der berühmte Single Point of Failure war eingetreten. Ein Angreifer hätte hierfür einen Administrator erpresst, um anstelle des Kommas ein Semikolon zu setzen. Oder mit den Worten der NSA, veröffentlicht durch Edward Snowden: „I hunt sys admins“. Doch der Zwischenfall erlaubt jenseits des Blame-Games eine Analyse zum Verhältnis von Software und Sicherheit. Unterhalb des vermeintlich akuten Fehlers offenbart sich das grundlegende Dilemma einer softwaregetriebenen Welt.

Crowdstrike bietet weltweit Sicherheit durch eine zentrale Cloud als Backbone an. Sicherheit mit dem Effizienzversprechen von Software. Security-Software ist aber zuerst einmal nur Software, mit allen Eigenschaften, die Software so zu eigen sind. „Security“ spezifiziert nur die zusätzlichen Privilegien für einen außergewöhnlich tiefen und weiten Eingriff ins Gastsystem. Also eine für jeden Angreifer besonders attraktive Software. Und wie jede andere Software auch liefert sie mit dem Augenblick ihrer Veröffentlichung zwingend den Anforderungskatalog ihres nächsten Patches mit sich. Sei es aus Gründen der Kompatibilität, von Legacy, von funktionalen Erweiterungen oder des Schließens von Softwarefehlern, bevor diese als Sicherheitslücken heranreifen. Software ist prinzipienbedingt ein ewiges Provisorium – eine Art Naturgesetz der Digitalisierung.

Zum Vergleich: Eine Eisenbahnbrücke darf niemals provisorisch konzipiert sein. Einmal fertiggestellt, muss sie zuverlässig der Physik, der Erosion und den Belastungen trotzen. Nach Fertigstellung ist der Brücke egal, welche Züge mit welcher Fracht bei welchem Wetter fahren. Stürzt sie dennoch einmal ein oder ab, bleiben all die anderen Brücken davon unberührt. Der Vergleich legt eine weitere wesentliche Eigenschaft von Software offen: das Effizienzversprechen, einhergehend mit Kosteneinsparungen. Einmal gebaut, ist sie nahezu beliebig kopier- und skalierbar. Ebenfalls ein Kernargument von Crowdstrike. Softwarefehler jedoch kaskadieren dann ebenfalls mit derselben Effizienz. Solche Fehler diskriminieren nicht zwischen Anwendern, Angreifern oder Unfällen. Ein Internet of Things (IoT) bleibt eben immer auch ein Internet of Targets.

Legacy ist Software inhärent

Angreifer suchen nach diesen Fehlern, um sie als Sicherheitslücken auszunutzen. Ein eigener Schwarzmarkt handelt diese mit Millionenbeträgen. Jede erkannte Sicherheitslücke zwingt daher zur schnellstmöglichen Behebung, eben durch Patches. Schnelle Patches erhöhen jedoch die Chance auf Fehler wie den vom 19. Juli, der via der zentralen Cloud als Backbone dann global kaskadiert. Wir beobachten die Normenkollision zweier konkurrierender Prinzipien: „Same Day Patch“ versus „Gründliches Testen“. Entweder man ist schnell, oder man ist gründlich.

Solche Normenkollisionen überschreiten die technische Dimension. Es handelt sich um normative Fragen nach der Herrschaft über die Software: Welche Prinzipien und welche Kultur will ich in meinen Systemen einsetzen, damit sie eben „meine“ bleiben? Bisher waren ökonomische Prinzipien der wesentliche Faktor der Digitalisierung: Kosten- und Effizienzgewinne durch Skalierung und Zentralisierung. Die ökonomische Optimierung zentralisiert das Internet. Wenn es heißt „Software is eating the world“, werden diese Prinzipien der neuen Welt integral verbaut. Vielleicht war das Betriebssystem der Voyager-Sonden der NASA die letzte Software mit Ewigkeitsanspruch, aber auch sie wurden in einer Entfernung von 165 astronomischen Einheiten gepatcht.

Natürlich sind private IT-Dienstleister besser für Software prädestiniert als staatliche Institutionen. Sie können etwas, wovon Staaten nur träumen dürfen: schnelle Updates ohne Mitzeichnungspflichten auf Grundlage eigener Good und Best Practice-Beispiele. Sie patchen schnell, wo der Staat erst ein Feststellungsverfahren in Gang setzen muss. Auch könnte kein staatlicher Akteur weltweit kosteneffizient die Sicherheit verbessern. Das Wesen der Software als ewiges Provisorium ist für diese Unternehmen das Geschäftsmodell: Jedes Update erzeugt eine neue Version, die ihrerseits nach Updates fragt – allein um schon mit den Vorgängermodellen kompatibel zu bleiben. Legacy ist inhärent.

Souverinätsfragen kehren im digitalen Gewand zurück

Rechenschaft schulden Unternehmen jedoch nur ihren Kunden und Anlegern. Die globale Architektur nach dem Prinzip des Provisoriums aufzubauen und schnell zu patchen, bringt Vorteile in Form von Flexibilität, Effizienz und Kosteneinsparungen – eben Kernkompetenzen der Softwaredienstleister. Sie werden aber auch die High-Value-Targets für Angreifer, denn die eigene Sicherheit von IT-Dienstleistern lässt sich nicht monetarisieren. Zur Good Practice gehört halt stets auch die eigene Kosteneinsparung.

Der Vorfall vom 19. Juli betraf besonders häufig die Kritische Infrastruktur (Kritis). Nun ist die Sicherheit von Kritis besonders wichtig – sonst wäre sie nicht kritisch. Kritis dient der Daseinsvorsorge. „Kritisch“ bedeutet besonders schützenswert gegen Ausfälle. Die Ausfallsicherheit durch Software und deren prinzipiell provisorisches Wesen zu gewährleisten, offenbart die zugrundeliegende Unvereinbarkeit: Schnelles Patchen ist ebenso riskant wie gründliches Testen.

Es wird offensichtlich, wie sehr wir noch am Anfang stehen und wie sehr es an modernen Normen für die Konstruktion einer softwaregetriebenen Welt fehlt. Normen sind die hoheitliche Aufgabe des Staates. So sind auch wesentliche Begriffe der IT-Sicherheit wie Vertrauen, Kontrolle oder Sicherheit keine technischen, sondern gesellschaftliche Begriffe. Es sind Begriffe der Souveränität oder, profaner, der Herrschaft. Wir erleben die Renaissance klassischer Souveränitätsfragen als Fragen der digitalen Souveränität.

Wächter zuerst angegriffen

Wer setzt also die Normen und den Rahmen für den Einsatz von Software und ihrer Dienstleister? Die entscheidenden Fragen der digitalen Infrastruktur erscheinen überraschend vertraut: Quis custodiet ipsos custodes – wer wacht über die Wächter? Moderner formuliert: Wer sichert IT-Sicherheit ab?

Und mehr denn je gilt die dazugehörige Mahnung: Caveat est et ab custodes incipit – immer im Wissen, dass der kluge Angreifer im Voraus plant und zuerst auf die Wächter selbst zielt. Also auf die Security Software selbst. Oder mit den Worten von Thomas Dullien: „Offense is technical, defense is political.“

Martin Wolff ist Unternehmer, lehrt zur Digitalen Souveränität am Hasso-Plattner-Institut und leitet das Clausewitz Netzwerk für Strategische Studien an der Führungsakademie der Bundeswehr.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.