Kommentar: IT-Pannen sind noch nicht teuer genug
Um mit dem Positiven zu beginnen: Es scheint noch mal gut gegangen zu sein. Durch den IT-Ausfall, der am vergangenen Freitag in vielen Ländern der Welt zu massiven Problemen, unter anderem im Flugverkehr, in Kliniken, Banken, Tankstellen und Börsen führte, hat offenbar kein Mensch größeren körperlichen Schaden genommen. Bis Sonntag wurde kein Fall bekannt.
Das war knapp: In einem deutschen Universitätsklinikum wurden Operationen abgesagt und die Ambulanz praktisch geschlossen – nur äußerste Notfälle wurden noch aufgenommen. Auch ein anderes betroffenes Krankenhaus betonte schnell: Lebenswichtige Geräte funktionierten weiter.
Zu den guten Nachrichten in einer doch sonst schlechten Lage gehört also auch, dass die IT-Verantwortlichen auf die eindringlichen Warnungen gehört haben und kritische Systeme gesondert betreiben.
Doch auch wenn Leib und Leben geschützt waren: Der finanzielle Schaden des laut Experten „größten IT-Ausfalls der Geschichte“ ist enorm. Wie hoch er genau ausfällt, werden die nächsten Wochen zeigen, wenn ab Montag die Unternehmen mit dem Zusammenrechnen der Chaos-Folgen beginnen.
Und das alles, weil der Anbieter einer IT-Sicherheitssoftware ein fehlerhaftes Update ausgespielt hat. Andere IT-Experten glauben, das amerikanische Unternehmen Crowdstrike könnte sein Programm-Update nicht ausreichend getestet haben mit der Folge, dass Rechner, auf denen Windows von Microsoft installiert ist, komplett abstürzten.
Crowdstrike wird wohl kein Einzelfall bleiben
Der Crowdstrike-Fall wird wahrscheinlich kein Einzelfall bleiben. IT-Experten warnen schon lange davor, dass es nicht unbedingt ein Cyberangriff sein wird, der die Welt lahmlegt, sondern ein Softwarefehler. Diese Wahrscheinlichkeit wird durch drei Faktoren begünstigt:
Zum einen gibt es einige dominante Spieler auf dem Markt, die so weit verbreitet sind, dass ein Fehler massive Auswirkungen hat. In diesem Fall war es eine Anwendung für Microsoft, aber es könnte auch Google, Amazon oder SAP treffen. Diese Konzentration ruft nun in den USA schon die Regulatoren auf den Plan, die sich wegen kaskadenhafter Auswirkungen sorgen.
Der zweite Faktor ist, dass heutige IT-Systeme extrem komplex und damit schwer zu kontrollieren sind. In großen Unternehmen kommen Hunderte unterschiedliche Softwarelösungen zum Einsatz, jede einzelne ist potenziell ein Einfalltor für Hacker – oder Fehler.
Der dritte Punkt ist der Faktor Mensch: Besonders unter Druck passieren Fehler. Und je mehr Vorgesetzte darauf pochen, dass die Schönheit des Produkts vor seiner Sicherheit geht, desto mehr steigt das Risiko. Da hilft auch keine Künstliche Intelligenz.
Die Frage ist, wie man das Risiko trotzdem minimieren kann. Mehr Regulierung kann da allerhöchstens ein Teil der Antwort sein. Zum einen würde die Komplexität der Systeme voraussichtlich weiter steigen. Zum anderen halten die Behörden meist mit der technischen Entwicklung nicht Schritt. Das könnte wichtige Updates verzögern.
Bei besonders rigiden Forderungen nach einer zwangsweise kleinteiligeren Aufteilung des Marktes stellen sich verschiedene Fragen: Kann Planwirtschaft wirklich das Mittel zum Ziel sein? Und hat nicht die weltweit nahezu einheitliche IT-Systemstruktur technische Fortschritte gebracht?
Was also könnte das Problem lösen? Geld. Das sollte ein starkes Regulativ sein, das dem Ausmaß der Ausfälle im wahrsten Sinne des Wortes Rechnung trägt. Wenn von vornherein klar ist, dass die Unternehmen für die Schäden haftbar sind, werden sie ihre internen Sicherheitsmaßnahmen verschärfen. Und wenn ihre Antwort darauf ist, sich einfach dagegen versichern zu lassen, werden die Versicherungen darauf pochen, dass sie es tun.