Google und Microsoft streiten in den USA über die Folgen der Abhängigkeit von IT-Produkten einzelner Hersteller. Auslöser ist eine von Googles Cloud-Abteilung in Auftrag gegebene Umfrage, wonach die Mehrheit der Angestellten im öffentlichen Dienst die Dominanz von Microsoft-Produkten in der Verwaltung für ein mögliches Sicherheitsproblem halten. Microsoft wehrt sich entschieden gegen diese Behauptung und bezeichnete sie als "nicht hilfreich".

Für die umstrittene Studie befragte das US-Marktforschungsinstitut Public Opinion Strategies 2600 berufstätige US-Amerikaner, darunter 600 Arbeitnehmer aus dem Großraum der Hauptstadt Washington und 338, die bei Bundes-, Landes- oder Kommunalbehörden im ganzen Land beschäftigt sind. Laut den Ende März veröffentlichten Ergebnissen sind 74 Prozent aller Teilnehmer sehr besorgt über Cyberangriffe auf ihre Arbeitgeber in den kommenden Jahren. Unter den Regierungsmitarbeitern rund um Washington sind es sogar 82 Prozent. Fast ein Drittel von ihnen hat zugleich angegeben, selbst bereits auf der Arbeit von den Folgen einer solchen Attacke betroffen gewesen zu sein.

IT-Monokultur macht anfällig

Gemäß der Umfrage nutzen 84 der Angestellten bei der öffentlichen Verwaltung im Raum Washington hauptsächlich Microsoft-Produkte, darunter die Office-Software Word, Outlook und Teams sowie den zugehörigen Cloud-Dienst OneDrive. 57 Prozent befürchten, dass sie diese "IT-Monokultur" anfälliger macht für Hackerangriffe. Unter allen Befragten lag die Quote bei 51 Prozent.

Auf die Frage, warum ihre Arbeitgeber Microsoft-Dienste nutzen, gab etwa die Hälfte der Teilnehmer an, dass dies eher auf eine Angst vor Veränderung zurückführen sei. Es gehe weniger darum, die effektivsten Werkzeuge für das Bewältigen der anstehenden Aufgaben zu suchen. Auch rund 50 Prozent derjenigen, die bei der Arbeit hauptsächlich Microsoft verwenden, meinten, dass sie lieber die Möglichkeit hätten, Produkte und Dienste anderer Unternehmen zu nutzen. 43 Prozent glaubten, dass es andere Software und Services gibt, mit denen sie ihre Arbeit besser erledigen könnten.

"Schatten-IT" im Einsatz

Dies könne dazu führen, gibt Google zu bedenken, dass unzufriedene Mitarbeiter "Schatten-IT" in Form von Programmen und Diensten einsetzen, die nicht offiziell von ihren IT-Abteilungen genehmigt oder befürwortet werden. 35 Prozent der Verwaltungsangestellten in Washington bestätigten, dass sie davon bereits Gebrauch machten. Bei den 20- bis 34-Jährigen waren es sogar 41 Prozent.

Angesichts der Resultate "könnte es für die Regierung an der Zeit sein, ihren Ansatz bei der Beschaffung zu überdenken", schreibt Jeanette Manfra, die bei Google Cloud für Risiko und Richtlinieneinhaltung zuständig ist und vorher eine leitende Stelle bei der Cybersecurity and Infrastructure Security Agency (CISA) innehatte. "Sich zu sehr auf einen einzigen Anbieter zu verlassen, ist normalerweise keine gute Idee", führte sie gegenüber NBC News aus. "Wenn man ein Produkt angreift, auf das der Großteil der Regierung angewiesen ist, um seine Arbeit zu erledigen, besteht ein erhebliches Risiko für die weitere Funktionsfähigkeit der Verwaltung."

"Sicherheitslücken in den Systemen der US-Regierung haben wichtige Tätigkeiten unterbrochen und den Steuerzahler Milliarden von Dollar gekostet", beklagt Manfra in dem Blogbeitrag. Allein die Schwachstelle bei SolarWinds 2020 dürfte Staat und Wirtschaft mehr als 100 Milliarden US-Dollar "und den Verlust wichtiger nationaler Sicherheitsinformationen gekostet haben".

Die Untersuchung kommt zu einem Zeitpunkt, an dem Google verstärkt Microsofts Dominanz in den Büros der Bundesbehörden herausfordern will. Im vorigen Jahr entdeckten IT-Forscher 21 Zero-Day-Exploits, die aktiv gegen Microsoft-Produkte eingesetzt werden, verglichen mit 16 solcher schweren Sicherheitslücken bei Google und 12 bei Apple. Die bekannteste einschlägige Schwachstelle betraf Microsofts E-Mail-Programm Exchange.

"Enttäuschende" Studie

Ein Microsoft-Sprecher bezeichnete die Studie gegenüber NBC News als "enttäuschend, aber nicht überraschend". Es sei nicht förderlich, "Spaltungen in der Sicherheitsgemeinschaft zu einem Zeitpunkt zu schaffen, an dem wir alle in erhöhter Alarmbereitschaft zusammenarbeiten sollten". Damit verwies er auf Warnungen der US-Regierung, dass das Land wegen seiner Unterstützung für die Ukraine mit Vergeltungs-Cyberattacken Russlands rechnen müsse: "Wir werden weiterhin branchenübergreifend zusammenarbeiten, um unsere Kunden und Regierungsbehörden gemeinsam zu schützen."

In Deutschland hatten Wirtschaftsprüfer von PwC schon 2019 in einer Studie für das Bundesinnenminister Alarm die Abhängigkeit von Microsoft-Produkten bemängelt. Als kritisch empfanden die befragten Anwender und Strategen vor allem die eingeschränkte Informationssicherheit und rechtliche Grauzonen etwa beim Datenschutz. Die Auseinandersetzung über Cloud-Verträge der öffentlichen Hand ist auf Bundes- und Länderebene ebenfalls voll zugange.

(olb)