In indischen Regierungseinrichtungen möchte man sich bis Ende 2023 weitgehendst von Microsoft Windows verabschieden: Zumindest auf allen mit dem Internet verbundenen Systemen soll es durch Maya OS ersetzt werden, eine für diesen Zweck entwickelte GNU/Linux Distribution. Ich fasse in diesem Beitrag zusammen, was bisher alles über das Betriebssystem und die Migration bekannt ist. Außerdem ein Blick auf die Qualität, die Microsoft mit Windows und anderer Software abliefert.
Was ist Maya OS?
Die Distribution wurde in einem halben Entwickelt. Nicht von Grund auf neu, sondern auf Basis von Ubuntu: Eine stark verbreiteten Distribution, welche wiederum auf Debian aufbaut. Für die Entwicklung haben verschiedene Regierungsorganisationen zusammengearbeitet. Es soll eine Oberfläche besitzen, die Microsoft Windows ähnelt, sodass sich die Benutzer wenig umgewöhnen müssen. Viele Informationen sind bisher nicht bekannt. Ob die Distribution quelloffen verfügbar sein wird, ist derzeit ebenfalls offen.
Das indische Wort „Maya“ bedeutet übersetzt „Illusion“. Offensichtlich sollen v.a. Angreifer damit getäuscht werden: Sicherheit und Zuverlässigkeit sind der Hauptfokus des Betriebssystems: Die Festplatte wird vollständig verschlüsselt, Angriffsversuche sollen erkannt werden und Anwendungen laufen in einer Sandbox. Das Konzept, die Anwendungen möglichst einzusperren, gewinnt in der IT-Welt zunehmend an Bedeutung. Sei es serverseitig durch Container (z.B. Docker), oder entsprechende Paketformate wie Snap von Ubuntu.
Man migriert daher zunächst die mit dem Internet verbundenen Computer des Verteidigungsministeriums von Windows zu Maya OS. Und zwar ebenfalls recht zeitnah: Geplant ist der Abschluss des ersten Blocks bereits für den 15. August. Später sollen auch die restlichen Systeme folgen. Auch andere Behörden sind interessiert und prüfen es derzeit: Die Marine hat es bereits freigegeben, in der Armee und Luftwaffe läuft noch die Analyse. Bis Ende des Jahres 2023 möchte man es überall installiert haben, sodass Microsoft Windows vollständig abgelöst ist.
Warum weg von Windows?
Gerade für das Verteidigungsministerium, aber auch andere Regierungseinrichtungen, sollten Sicherheit & Zuverlässigkeit oberste Priorität haben: Ausfälle können hier nicht nur teuer werden, sondern durchaus eine Gefahr für die Bevölkerung darstellen. Gleiches gilt natürlich für die Sicherheit. Als Staat möchte man die eigene Infrastruktur soweit wie möglich schützen und zudem möglichst unabhängig sein. Dies hat die Regierung schmerzlich erfahren müssen, nachdem es in den letzten Jahren zu zahlreichen erfolgreichen Angriffen auf ihre Systeme gab. Ein Auszug aus den Schwersten, die kritische Infrastrukturen betrafen:
- Ende 2019 wurde eines der größten Atomkraftwerke erfolgreich durch einen infizierten Computer angegriffen. Die Angreifer beschädigten die Anlage nicht, konnten jedoch anscheinend große Mengen an internen Daten stehlen, welche ggf. zukünftige Angriffe weiter vereinfachen.
- 2020 kam es zu einem großflächigen Stromausfall in der indischen Stadt Mumbai (15,4 Millionen Einwohner) – mitten in der Pandemie. Erst 2021 bestätigte die Regierungen Medienberichte, welche einen Angriff der IT-Systeme vermuteten.
- 2022 wurde Oil India erfolgreich von einer Ransomware angegriffen. Die Täter verschlüsselten Server des Unternehmens und forderten 196 Bitcoin als Lösegeldzahlung. Es handelt sich um eines der größten staatlichen Öl- und Gasunternehmen mit über 7.000 Mitarbeitern.
Einige Fälle sind relativ glimpflich ausgegangen. Das ist aber natürlich keine Entwarnung: Wenn kritische Infrastruktur derart schlecht gesichert ist, dass sie Regelmäßig von Angreifern übernommen werden kann, ist das Schadenspotenzial hoch – nicht nur bei Atomkraftwerken. Vertrauen schafft man damit in der Bevölkerung ebenfalls nicht. Vor allem dann, wenn die Folgen für jeden spürbar sind, wie bei einem breitflächigen Blackout bei der Stromversorgung kommt.
2021 entschloss man zu handeln, analysierte die Probleme und überlegte sich, wie die Sicherheit verbessert werden kann. Die Wahl fiel auf Linux, statt Windows oder Apples MacOS. Bereits im Vorfeld arbeitete man mit lokalen Softwareunternehmen zusammen, um die Migration vorzubereiten.
Werden die Systeme ohne Windows sicherer?
Es ist seit bald Jahrzehnten bekannt, dass Microsoft Windows und Office das mit Abstand größte Angriffsziel und zugleich Einfallstor für Schadsoftware sind. An der Verbreitung ist Microsoft nicht schuld, wohl aber an der schlechten Absicherung: So freuten sich Angreifer über Sicherheitsmängel in Excel 4.0 Makros von 1992 (!), die Microsoft erst 2021 standardmäßig deaktivierte. Und das ist nur die Spitze des Eisbergs, da auch aktuellere Makros Code auf dem System ausführen können. Der Konzern schaute zu, wie es Jahrelang zu Infektionen kam. Ungefähr ab 2015/2016 kam Ransomware dazu und wurde immer professioneller, wodurch die Bedrohung richtig gefährlich wurde. Als sich Microsoft 2022 endlich traute, wenigstens nicht vertrauenswürdige Makros automatisch zu blockieren, dauerte es ein paar Wochen, bis sie einen Rückzieher machten.
Am 30.05.2022 entdeckten Sicherheitsforscher ein Word-Dokument, das Schadcode nachlädt. Antivirenscanner helfen hier übrigens nicht, da der Code ja innerhalb von Word nachgeladen wird. Bekommen die also nicht mit und in der Regel vertrauen die Microsoft-Anwendungen. Einen Tag später legten dann die großen Gangs mit den richtig professionellen Angriffswellen los. Mehr als eine Woche später gibt es von Microsoft noch immer kein Sicherheitsupdate. Es dauerte satte zwei Wochen, bis der Konzern am 14.06.2023 eine schwere Sicherheitslücke korrigiert, die seit mindestens zwei Wochen aktiv ausgenutzt wird. Wohlgemerkt mindestens, die Forscher haben am 30.05. ja nur die erste Ausnutzung entdeckt, wie lange davor die schon unentdeckt genutzt wurde, weiß keiner.
Und das ist kein Einzelfall:
- Angreifer können den Clouddienst Microsoft Teams leicht missbrauchen, um Opfern Schadsoftware zu schicken. Microsoft hält die Lücke für nicht schlimm genug, um den Fehler sofort zu korrigieren.
- In PowerPoint genügt eine falsche Mausbewegung, damit Schadcode geladen und ausgeführt werden kann. Selbst wenn es eine Datei ohne Makros ist (also ohne „m“ am Ende des Dateinamens). Makros sind zwar das Haupteinfallstor, aber es gibt auch Sicherheitsmängel, die ohne Makros auskommen.
- Noch mal Microsoft Teams: Zugriffstokens hat der Client im Klartext gespeichert. Damit können Angreifer leicht auf sämtliche Inhalte der Microsoft Clouddienste (Outlook, OneDrive, Sharepoint usw) zugreifen sowie diese manipulieren. Das ist ein Anfängerfehler, für den man sich bei einem angehenden Softwareentwickler gründlich überlegen würde, ob man den nicht besser durchfallen lässt, damit er lernt, wie es richtig geht. Für Microsoft nicht mal ein Grund, wenigstens im Nachgang den Fehler mit einem sofortigen Update zu korrigieren: Wer sich schützen möchte (z.B. mehrere Benutzer am gleichen PC, Terminalserver usw), solle die Desktop-Version löschen und den Web-Client nutzen, da sich da der Webbrowser kümmert. Kurz zuvor gab es übrigens eine weitere Schwachstelle, wodurch Angreifer die Telefongebühren des Opfers in die Höhe treiben konnten.
- Die Cloud ist mindestens genau so unsicher: Durch Überkomplexität haben viele Unternehmen ungewollt jedem Vollzugriff auf ihre Systeme gewährt – darunter Administrationsschnittstellen von Microsoft selbst, wie z.B. Bing und zig interne Daten des Konzerns.
- Verschiedene Sicherheitsmängel in Microsofts Clouddiensten ermöglichten es Fremden, in die Microsoft-Konten zahlreicher Organisationen einzubrechen – darunter auch die US-Regierung. Microsoft wurde für mangelnde Transparenz kritisiert. Das Unternehmen versuchte stattdessen, die Vorfälle herunter zu spielen.
Diese Liste könne man noch sehr viel länger führen, bereits 5 Beispiele zeigen sehr deutlich: Es gibt strukturelle Probleme bei Microsoft. Die Sicherheit der Nutzer steht keinesfalls an oberster Stelle. Mit GNU/Linux lassen sich zwar nicht sämtliche Schwachstellen automatisch ausschließen. Allerdings hat man hier mehr Kontrolle und ist nicht auf Microsoft angewiesen, die viel zu spät oder gar nicht auf Schwachstellen reagieren. Stattdessen lassen sich Sicherheitsmängel beseitigen. Zusätzlich profitiert man von der geringeren Verbreitung sowie der höheren Souveränität. Als eigenständiges Land möchte man wohl kaum von einem fremden abhängig sein, weil nicht nur deren Konzern die Software liefert, sondern auch noch Teile davon dort auf Cloudservern gespeichert werden. Großbritannien hat das schmerzhaft Erfahren: Dank Mängeln in Microsoft Exchange wurden Daten von 40 Millionen Wählern kompromittiert.
Worauf ich hier noch gar nicht eingegangen bin, ist die generelle Softwarequalität. Wie oft haben Microsoft-Updates schon das System kaputt gemacht? Muss man gar nicht lange suchen: Erst zum 08. August gab es Exchange-Aktualisierungen, die sich auf allen Systemen mit anderen Sprachen als Englisch nicht installieren lassen. Die Krönung ist nicht mal, dass Sicherheitsupdates gegen 6 Schwachstellen sich wegen eines so banalen Fehlers, der auf eine äußerst fragwürdige Qualitätskontrolle zurückzuführen ist, nicht einspielen lassen: Versucht ihr es, geht dabei euer Exchange-Server auch noch kaputt. Auch das ist kein Einzelfall, wie z.B. seit Jahren kaputten Widgets in Windows 11, sondern steht sinnbildlich, was man bei Microsoft für ein Niveau erwarten kann.
Fazit
Indien scheint erkannt zu haben, was man hierzulande und auch in anderen westlichen Ländern bereits seit Jahren vehement zu leugnen versucht: Microsoft liefert oft keine besonders hohe Qualität, wodurch es zu Problemen, Ausfällen und Sicherheitslücken kommt – davon geht ein nicht unerhebliches Sicherheitsrisiko aus. Zumal der Konzern alles daran setzt, die Abhängigkeit zu ihm so groß wie möglich zu halten.
GNU/Linux ist zwar nicht unangreifbar, vor allem nicht automatisch. Richtig eingesetzt kann man damit jedoch ein insgesamt deutlich besseres Ergebnis erzielen und die Risiken minimieren. Ganz nebenbei wird man früher oder später zudem Kosten sparen. Aus meiner Sicht ist die Erkenntnis der indischen Regierung zwar etwas spät, aber ein Schritt in die richtige Richtung. Übrigens nicht der Erste: Bereits 2007 wurde mit BOSS eine für den indischem Raum vorgesehene GNU/Linux-Distribution entwickelt.
Quellen und weiterführende Informationen
- https://news.itsfoss.com/indian-govt-linux-windows/
- https://www.thehindu.com/news/national/defence-ministry-to-replace-microsoft-os-with-maya/article67172875.ece
- https://www.jagranjosh.com/general-knowledge/maya-os-system-1691747826-1
- https://indianexpress.com/article/technology/tech-news-technology/maya-os-windows-replacement-defence-ministry-computers-8885509/
- https://tarnkappe.info/artikel/linux/maya-os-indiens-verteidigungsministerium-will-windows-durch-eigenes-linux-ersetzen-279494.html
- https://www.heise.de/news/Microsoft-will-Office-VBA-Makros-standardmaessig-blockieren-6353429.html
- https://www.theverge.com/2022/2/7/22922032/microsoft-block-office-vba-macros-default-change
- https://scroll.in/article/1031929/india-ranks-second-globally-in-cyber-attacks-on-health-systems-as-government-pushes-digitisation
- https://www.heise.de/select/ct/2022/24/2227108461980115438
- https://gs.statcounter.com/os-market-share/desktop/worldwide
- https://www.kaspersky.de/blog/ransomware-blocker-to-cryptor/8031/