Cloudstrike? War das was?

Microsoft in­ves­tiert Un­sum­men in die küns­tli­che In­tel­li­genz, for­ciert die Cloud und zeigt wenig Neigung, den Be­dürf­nis­sen von Usern und der Ge­sell­schaft Rech­nung zu tragen – wie etwa die Sicher­heit der glo­ba­len IT-Infra­struk­tur.

Von 2024 bleibt Crowdstrike in Erinnerung: Jenes IT-Sicherheitsunternehmen, dessen Name nun Synonym für den bisher grössten Computerausfall aller Zeiten ist. Ist es unfair, dieses Ereignis an den Anfang eines Blogposts zu stellen, in dem es um die Leistung von Microsoft im Jahr 2024 geht? Denn um es klar zu sagen: Cloudstrike ist nicht Microsoft, und das problematische Update kam nicht aus Redmond, sondern aus Austin, Texas.

Nein, es ist nicht unfair. Der berechtigte Einwand steht im Raum, Microsoft treffe eine Teilschuld. In «IT daily», einem Fachmagazin für Computersicherheit, heisst es:

Definitiv ist Crowdstrike hauptverantwortlicher Akteur für den IT-Supergau vom 19. Juli. Microsoft jedoch hätte in der Vergangenheit durchaus mehr dazu beitragen können, einen Vorfall zumindest in diesem Ausmass zu verhindern. Anstelle dessen verfolgt das Unternehmen nun eine öffentlichkeitswirksame PR Policy, die diese Verantwortlichkeit eines globalen Monopolisten auf dem Software- und Cloud-Markt nicht nur negiert, sondern gar ins Gegenteil verkehrt

Der letzte Satz bezieht sich auf Microsofts Vorwurf, die EU sei schuld am Debakel. Er hat eine Vorgeschichte: 2009 einigten sich der Softwarekonzern und die Europäische Kommission auf eine Vereinbarung. Die besagt, dass die Hersteller von Sicherheitssoftware Zugang zum Windows-Kernel erhalten müssen. Microsofts Logik: Wenn die EU diesen Zugang nicht eingefordert hätte, dann wäre Cloudstrike nicht in der Lage gewesen, mit einem fehlerhaften Update um die 8,5 Millionen Windows-Computer lahmzulegen.

Ein unwürdiges Schwarzpeterspiel

Ein Sprecher der Europäischen Kommission schmetterte diese Schuldzuweisung ab:

Microsoft ist frei in der Entscheidung über sein Geschäftsmodell. Es ist Sache von Microsoft, seine Sicherheitsinfrastruktur anzupassen, um im Einklang mit dem EU-Wettbewerbsrecht auf Bedrohungen zu reagieren.

Natürlich kann man dieses Geplänkel damit abtun, dass ein Schwarzpeterspiel nach so einem Vorfall nicht unüblich ist. Allerdings halte ich es für überaus bedenklich, wenn ein Konzern wie Microsoft ihn instrumentalisiert, um sich gegen unerwünschte Regulierungen zu stellen. Der EK-Sprecher wies auch darauf hin, dass Microsoft diese Vereinbarung vor dem Crowdstrike-Vorfall nie als problematisch dargestellt habe.

Von einem Konzern wie Microsoft müssen wir ein hohes Mass an Verantwortungsbewusstsein verlangen. Es ist zwingend, dass die Lehren aus einer so weitreichenden Sicherheitspanne gezogen werden – und zwar unabhängig von einer möglichen Mitschuld. Denn wenn die Crowdstrike-Panne uns eines vor Augen geführt hat, dann ist das unsere Abhängigkeit von unserer digitalen Infrastruktur.

Das Recall-Debakel

Apropos Verantwortung: Auch sonst konnte man im Jahr 2024 den Eindruck bekommen, dass Microsoft ein grundsätzliches Problem damit hat, die Implikationen des eigenen Tuns vorauszusehen und angemessen zu würdigen. Im Sommer kündigte der Konzern das Recall-Feature an. Das macht laufend Screenshots, die mit Texterkennung (OCR) behandelt werden, sodass sich über eine Suchfunktion während sechs Monaten beliebige Aktionen am Windows-Computer nachvollziehen lassen. Wie wenig Microsoft dem Datenschutz und den allgemeinen Risiken Rechnung trug, zeigte sich daran, dass selbst Passwörter aufgezeichnet werden.

Von der Kritik z.B. von Konsumentenschutzorganisationen und Medien überrascht, ruderte der Konzern zurück und verzögerte die Auslieferung von Recall.

Der Microsoftsche KI-Irrsinn geht in die nächste Runde

Der Neuzugang auf der Tastatur zwischen «Alt Gr» und den Pfeiltasten.

Das Verantwortungsbewusstsein steht Microsofts Geschäftsinteressen im Weg – das hat sich schon im letzten Jahr gezeigt. Dieses Jahr ging es genauso weiter: Microsoft will mit aller Gewalt die künstliche Intelligenz zum eigenen Vorteil nutzen. Dazu wird sie überall eingebaut, wo es irgendwie geht:

Wie ernst es Microsoft bei der KI ist, zeigt sich auch andernorts: Gemäss Wikipedia hat der Software-Riese satte 36,5 Milliarden US-Dollar diverse Investments gebuttert – namentlich in die Emirati KI-Firma G42 für Azure, in KI- und Cloud-Infrastruktur in Indonesien, in einen KI-Hub in Wisconsin und in die Global AI Infrastructure Investment Partnership mit BlackRock.

Abgesehen davon forcierte Microsoft mit dem 24H2-Update für Windows 11 den Cloud-Zwang und ersetzte die alten Apps für Mail und Kalender durch das neue Outlook, das nicht nur beim Datenschutz, sondern auch bei der Funktionalität einen Rückschritt bedeutet. Unter dem Strich habe ich nur eine positive Entwicklung verzeichnet: Nämlich die Tatsache, dass Windows auf ARM-PCs nun endlich Alltagstauglichkeit erlangt hat.

Trotz dieses kleinen Lichtblicks war 2024 ein miserables Microsoft-Jahr. Es war schlecht für die Nutzerinnen und Nutzer, die weiterhin ungefragt als KI-Versuchskarnickel missbraucht werden. Besonders prekär ist es jedoch für uns alle, weil wir fürchten müssten, dass den Anforderungen an die globale IT-Sicherheit fatal wenig Beachtung beigemessen wird.

Beitragsbild: Trotz der hier sichtbaren Decke sind die Ambitionen im Hauptquartier des Tech-Unternehmens nach oben offen (Angel Bena, Pexels-Lizenz).

Kommentar verfassen