Nachdem sich Microsoft zunächst gar nicht groß öffentlich zum weltweiten IT-Sicherheitsdebakel am 19. Juli 2024 äußerte, erhob man nur wenige Tage später im Wall Street Journal den Vorwurf in Richtung der Europäischen Kommission: Nicht CrowdStrike, sondern die EU selbst sei für den bislang weltweit größten Computerausfall hauptverantwortlicher Akteur.
Die zugrunde liegende Argumentation ist zunächst denkbar einfach wie gleichermaßen einleuchtend: Weil Microsoft im Jahr 2009 eine Vereinbarung mit der EU treffen musste, die das Unternehmen dazu zwang, den Anbietern von Sicherheitssoftware den gleichen Zugang zum Betriebssystem zu gewähren wie sich selbst, könne Microsoft den Kern von Windows, den sogenannten „Kernel“, nicht angemessen vor Fehlern in der Software von Drittanbietern wie CrowdStrike schützen. In einem Zuge wurde auf Apple verwiesen, denn schon 2020 hatte dieses Unternehmen Drittanbietern den Zugang zum Kernel von macOS versagt – mit der Folge, dass es mit Apple-Produkten nicht zu jenem IT-Supergau gekommen wäre. Dem aber liegt eine gänzlich andere Wertung zugrunde.
Denn was zunächst so plausibel klingen mag, weil es eben eine vermeintlich einfache Erklärung für einen komplexen Sachverhalt ist, sollte vielleicht gerade deswegen auch hinterfragt werden, weil das Timing des Microsoft’schen Vorwurfs mehr als gut in das aktuelle Bild passt: Denn weniger als einen Monat zuvor übermittelte die EU-Kommission Microsoft eine Mitteilung der Beschwerdepunkte wegen möglicher missbräuchlicher und kartellrechtswidriger Kopplungspraktiken bei der Kollaborationssoftware Teams.
Was Microsoft in seinen CrowdStrike-Vorwürfen gegen die EU nämlich bewusst ausklammert, ist der Fakt, dass auch die Vereinbarung aus 2009 lediglich eine Folge von wettbewerbswidrigen Produktkopplungspraktiken des US-Konzerns zum Schaden von Verbrauchern und Cybersicherheit war, denn Microsoft missbrauchte sein Betriebssystemmonopol damals dazu, um den Internet Explorer zum Standardprodukt zu etablieren und alternative Produkte wie Firefox oder Opera aus dem Markt zu drängen. Und was auch bewusst unter den Tisch fallen gelassen wird, ist die Tatsache, dass genau ebenjenes Problem einen Hauptaspekt der damaligen Abmachung aus 2009 betraf, die sich im Kern somit weder allein um Sicherheitssoftware oder gar speziell um CrowdStrike drehte, sondern eine generelle Interoperabilitätsvereinbarung für Windows-, Windows Server-, Office-, Exchange- und SharePoint-Produkte darstellte, die natürlich auch die Cybersicherheit mit umfasst, um solche Produkte ordnungsgemäß betreiben zu können.
Nichts hätte an Schnittstellen außerhalb des Kernels gehindert
Aber es ist nun eben allzu einfach, sich auf eine 15 Jahre alte Abmachung zu berufen, um dringend notwendige kartellrechtliche Untersuchungen politisch nach Möglichkeit aus dem Weg zu räumen. Denn um nichts anderes geht es hier als um einen Vergleich mit Äpfeln und Birnen, indem Microsoft die Cybersicherheit als wichtige wirtschaftliche, staatliche und gesamtgesellschaftliche Gewährleistungsverantwortung nun schon als Argument dazu missbraucht, um seine eigenen monopolistischen Interessen auf dem Software- und Cloud-Markt in der EU munter weiter durchzudrücken. Doch selbst wenn man das alles beiseite räumt und der technischen Argumentation von Microsoft folgt, wird schnell klar, dass es dem Softwarekonzern eigentlich gar nicht um die Cybersicherheit geht, auch wenn er dies neuerdings allerorts so verkauft.
Natürlich birgt der unregulierte Kernel-Zugriff erhebliche Gefahren für die Stabilität des Betriebssystems, aber wirft man denn einmal einen detaillierten Blick in die seinerzeit getroffenen Vereinbarungen, so wird auch hier schnell klar, dass Microsoft nicht das Opfer einer sachfremden europäischen Anordnung ist, wie das Unternehmen es gerade öffentlich darstellt. Ganz im Gegenteil: Microsoft hat die europäische Vereinbarung nicht nur ausdrücklich begrüßt, sondern sich damit einhergehend sogar wortwörtlich die „Führungsrolle“ im Bereich technischer Interoperabilität auf die Fahne geschrieben – womit denknotwendigerweise auch eine entsprechende Verantwortung einhergeht. Und genau diese Verantwortung wird mit Blick auf die Anschuldigungen des Konzerns gegen die EU nicht nur hierzulande, sondern auch in den Vereinigten Staaten selbst in Frage gestellt.
Die europäische Vereinbarung sei nämlich so weit gefasst, dass Microsoft nichts daran gehindert hätte, eine Schnittstelle zu externen Softwareanbietern außerhalb des Kernels zu schaffen, um mehr technische Stabilität herzustellen und Vorfälle wie am 19. Juli 2024 geschehen aktiv mit zu verhindern. Tatsächlich verfolgen die meisten anderen modernen Betriebssysteme diesen Ansatz, indem sie Sicherheitsunternehmen stabile APIs zur Verfügung stellen und auf diese Weise den sensiblen Kernel absichern. Last but not least geht es in der getroffenen Abmachung aus 2009 nicht nur um das abstrakte Bereitstellen von technischen Schnittstellen und Interoperabilität, sondern insgesamt ebenso um deren aktive Betreuung unter anderem durch Dokumentation und Unterstützungsleistungen durch Microsoft, was eine deutlich größere Verantwortung an der Gesamtsituation nahelegt, als es das US-Unternehmen wahrhaben will.
Auch wenn es sich bei dem CrowdStrike-IT-Ausfall nicht um einen Cyberangriff handelte, so wird man jetzt, einen Monat später, durchaus zur Feststellung gelangen können, dass die Auswirkungen mit einem schweren Cyberangriff vergleichbar gewesen sind und dass die Abhängigkeit von einem einzigen Anbieter wie Microsoft ein erhebliches Risiko für die IT-Sicherheit darstellt. Zudem wird in Diskussionen in der Fachcommunity immer wieder betont, dass die veraltete Architektur des Betriebssystems Windows ein Schlüsselfaktor für die Schwere des Ausfalls war, während andere Betriebssysteme wie macOS und Linux durch eine sicherere Kernel-Architektur technisch deutlich besser vor solchen Ereignissen geschützt sind.
Es fehlt immer noch an der Verantwortung für mehr Cybersicherheit
Welche Erkenntnis bleibt uns also nunmehr? Definitiv ist CrowdStrike hauptverantwortlicher Akteur für den IT-Supergau vom 19. Juli. Microsoft jedoch hätte in der Vergangenheit durchaus mehr dazu beitragen können, einen Vorfall zumindest in diesem Ausmaß zu verhindern. Anstelle dessen verfolgt das Unternehmen nun eine öffentlichkeitswirksame PR Policy, die diese Verantwortlichkeit eines globalen Monopolisten auf dem Software- und Cloud-Markt nicht nur negiert, sondern gar ins Gegenteil verkehrt und im Sinne einer positiven Außendarstellung den europäischen Kartellbehörden die Schuld in die Schuhe schiebt, die den verfassungsrechtlich legitimierten und gemeinwohlorientierten Auftrag haben, gefährliche globale IT-Monopole aufzubrechen. Vor dem Hintergrund laufender IT-Sicherheitsvorfälle von Microsoft mutet diese Argumentation nicht nur kurios, sondern geradezu grotesk an und zeigt letzten Endes leider, dass der Konzern trotz zahlloser Lippenbekenntnisse zu mehr Cybersicherheit seiner immensen Verantwortung immer noch nicht gerecht wird. Diese Ignoranz ist nicht nur schade, sondern brandgefährlich.