Die Update-Panne bei CrowdStrike war im Zuge der weltweiten IT-Ausfälle das beherrschende Thema der letzten Tage. Dabei gab es einen zweiten Zwischenfall: einen Konfigurationsfehler in der Microsoft-Cloud Azure. Dieser befeuert die Debatte über die IT des Bundes und dessen digitale Souveränität.
„Azure“ steht für den gleichnamigen Blauton. Blau war auch der „Blue Screen of Death“ mit der Microsoft-Fehlermeldung, die auf Bildschirmen weltweit zu sehen war. Ob auch ein technischer Zusammenhang zwischen dem fehlerhaften CrowdStrike-Update und dem Azure-Konfigurationsfehler besteht, sei „noch nicht abschließend geklärt“, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite mitteilt. Das Azure-Problem kommt jedenfalls zur Unzeit: Bundes-CIO Markus Richter hatte sich jüngst dafür entschieden, die geplante souveräne Cloud für die Bundes-IT gemeinsam mit der SAP-Tochter Delos anzugehen – die Delos-Cloud basiert auf Microsoft Azure und Microsoft 365.
KRITIS schützen ohne viel Abhängigkeit
Der CrowdStrike-IT-Crash legte weltweit Kritische Infrastrukturen (KRITIS) wie Flughäfen, Krankenhäuser und die Lebensmittelversorgung lahm. Dass scheinbar auch Microsoft Azure ein wie auch immer gearteter Teil des Vorfalls war, bringt naturgemäß neue Kritik mit sich. Den infrastrukturellen Vorteilen der Hyperscaler wie Microsoft, Amazon und Google stehen Bedenken in puncto Abhängigkeit gegenüber. Konstantin von Notz, Digitalpolitiker der Grünen, ist der Meinung, „dass bestehende Abhängigkeiten von einzelnen Anbietern viel zu groß sind“ und reduziert werden müssten, wie er auf der Webseite seiner Partei verlauten ließ. Eine Möglichkeit für mehr Unabhängigkeit: „Open Source-Eigenentwicklungen“, so von Notz. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht, gibt auf it-daily.net zu bedenken, dass ein schwammiger Begriff wie „souverän“ nicht viel über das tatsächliche Sicherheitslevel einer Cloud aussage. Es komme zudem nicht auf den Standort des Rechenzentrums an, „sondern auf den Betreiber und die zugrundeliegende Software“. Die Debatte darüber, wer die Bundes-IT wie in die Cloud bringt, wird weitergehen.
Korrekturhinweis: Im Behörden Spiegel-Newsletter „Digitaler Staat und Cyber Security“ Nr. 1.247 wurde die Delos-Cloud fälschlicherweise mit der Bundescloud des Informationstechnikzentrums Bund (ITZBund) vermischt. Zur Korrektur folgt hier das einordnende Statement des ITZBund im Wortlaut: „Die Bundescloud des ITZBund ist kein Produkt der Firma Delos. Sie ist die private Cloud der deutschen Bundesverwaltung und eine Eigenentwicklung des ITZBund im Auftrag der Bundesverwaltung. Der Betrieb der Bundescloud erfolgt in den Rechenzenten des ITZBund durch das eigene Personal. Die Bundescloud ist als eingetragene Wort-Bild-Marke geschützt, um eine Abgrenzung zu anderen Clouds deutlich zu machen. Die SAP Tochter Delos plant eine eigene Cloud-Infrastruktur auf Basis von Azure, welche durch die Bundesverwaltung beauftragt werden soll. Diese Cloud wird weder durch das ITZBund verantwortet noch in den Rechenzentren des ITZBund betrieben. Es handelt sich folglich um ein Cloud-Angebot aus der Industrie für die Verwaltung.“ Wir bitten, den Fehler zu entschuldigen.
