Ist die Sicherheit der Daten der Bürger nach einer Umstellung auf Microsoft gewährleistet?
Anfrage Stadtrats-Mitglieder Dr. Wolfgang Heubisch, Dr. Michael Mattar, Gabriele Neff, Thomas Ranft und Wolfgang Zeilnhofer (Fraktion FDP – HUT) vom 8.3.2018
Antwort Thomas Bönig, Referent für Informations- und Telekommunikationstechnik:
Mit Schreiben vom 9.3.2018 haben Sie gemäß § 68 GeschO folgende Anfrage an Herrn Oberbürgermeister Reiter gestellt, die vom Referat für Informations- und Telekommunikationstechnik wie folgt beantwortet wird.
In Ihrer Anfrage zur Sicherheit der Daten von Münchner Bürgerinnen und Bürgern nach einer Umstellung auf Microsoft führen Sie Folgendes aus:
„Immer wieder wird von IT-Spezialisten über die Probleme beim Datenschutz mit Microsoft und dem Windows10 Betriebssystem hingewiesen. Auch dem Bundesamt für Sicherheit in der
Informationstechnik (BSI), das für die Beschaffung auf Bundes-, Länder- und Kommunalebene zuständig ist und mit Microsoft verhandelt, hat nun seine Bedenken veröffentlicht.
Gerade auf dem Konzern unangenehme Fragen wird nicht reagiert. Selbst die Bayerische Datenschutzaufsicht kommt bei dem Konzern nicht weiter (siehe auch Artikel:
https://www.heise.de/newsticker/meldung/Behoerden-ignorieren-Sicherheitsbedenken-gegenueber-Windows-10-3971133.html). Trotzdem wurde in der Landeshauptstadt München (LHM) am 23.11.2017 entschieden, von einem sicheren System wieder auf das Microsoft System umzusteigen.“
Vor der Beantwortung Ihrer konkreten Fragen möchte ich kurz das Umfeld Ihrer Anfrage beleuchten.
Der Stadtrat der Landeshauptstadt München hat im Beschluss „Ausplanung des IT-Gutachtens zur Neuorganisation der städtischen Informations- und Telekommunikationstechnik“ (Sitzungsvorlage Nr. 14-20 /V 09983 vom 28.11 2017) mit großer Mehrheit beschlossen, die Maßnahmen zur Bereitstellung eines einheitlichen Clients auf Basis von Windows 10 umzusetzen. Microsoft Windows ist das mit Abstand am meisten eingesetzte Betriebssystem im privaten und kommerziellen Umfeld und wird auch von der Mehrheit der öffentlichen Stellen weltweit eingesetzt. Dies gilt insbesondere auch für die Mehrheit der Kommunen und Behörden des Bundes und der Länder in Deutschland. Es gibt derzeit keine Empfehlung des BSI, die den Einsatz von Windows 10 bei öffentlichen Behörden in Frage stellt. Im Jahre 2017 hat das Bayerische Landesamt für Datenschutzaufsicht nach eingehender Prüfung von Windows 10 zwar einige Kritikpunkte festgestellt, aber auch die Auffassung vertreten, dass der Einsatz von Windows 10 in Unternehmen grundsätzlich datenschutzkonform möglich ist. Es gibt also derzeit etliche Diskussionen zum aktuellen Betriebssystem von Microsoft, allerdings keine verlässlichen Aussagen oder Empfehlungen von für die öffentliche Hand relevanten Stellen.
Vor diesem Hintergrund kann ich Ihnen zu Ihren konkreten Fragen Folgendes mitteilen.
Frage 1:
Gibt es seitens der Stadt eine Kooperation mit der Bundesbehörde BSI zum Austausch?
Antwort:
Seitens der Stadtverwaltung bestehen im Hinblick auf unterschiedliche Themenstellungen der IT-Sicherheit Kontakte zum BSI. So ist die LHM z. B. Teilnehmerin der „Allianz für Cyber-Sicherheit“, einer Initiative des BSI, und verfügt damit über einen Zugang zu sicherheitsrelevanten Informationsangeboten bzw. zu entsprechenden Austauschplattformen. Die für die IT-Sicherheit bei der LHM zuständigen Stellen verfolgen und berücksichtigen somit kontinuierlich die vom BSI veröffentlichten Hinweise und Empfehlungen, insbesondere auch im Hinblick auf die Einführung eines Windows10-Clients. Weiterhin wird die LHM über das CERT des Freistaates Bayern über jeweils aktuelle Schwachstellen in IT-Systemen kontinuierlich informiert.
Frage 2:
Gibt es Sicherheitsbedenken im Windows10 Betriebssystem seitens der Stadt?
Antwort:
Wie eingangs dieses Schreibens ausgeführt, gibt es zum aktuellen Zeitpunkt generell viele Diskussionen und Meinungen zu den Themen IT-Sicherheit und Datenschutz von Windows 10. Vor diesem Hintergrund sieht die LHM natürlich die Notwendigkeit, die Auswirkungen auf die IT-Sicherheit und den Datenschutz bei Einführung von Windows 10 zu identifizieren und entsprechend den städtischen Sicherheitsanforderungen zu handhaben. Hierbei handelt es sich jedoch nicht um grundsätzliche Bedenken zum Einsatz von Windows 10. Vielmehr geht es um einen räsonablen Umgang mit den Themenbereichen IT-Sicherheit und Datenschutz im Hinblick auf Windows 10, um den Schutzbedarfen der von der Stadtverwaltung verarbeiteten Informationen gerecht zu werden.
In diesem Zusammenhang kommen die Vorgaben zur Informationssicherheit bei der Landeshauptstadt München zum Tragen sowie die standardisierte Vorgehensweise bei der Einführung von IT-Lösungen („Prozessmodell IT-Service“), deren sicherheitsrelevante Aktivitäten auf der Basis der international anerkannten Norm ISO/IEC 27001 („IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme – Anforderungen“) ausgestaltet sind. Auf diese Weise wird sichergestellt, dass bei einer Einführung von Windows 10, wie auch bei jeder anderen IT-Lösung, die bei der Landeshauptstadt München eingesetzt werden soll, die entsprechenden Regularien der IT-Sicherheit und des Datenschutzes eingehalten und entsprechende Sicherheitsmaßnahmen etabliert werden.
Es ist somit eine der wesentlichen Aufgaben des laufenden Umsetzungsprojekts zur Einführung eines einheitlichen Clients unter Windows 10, mögliche Themen der IT-Sicherheit und des Datenschutzes im Rahmen der Konformitätsprüfungen und insbesondere im Rahmen des verpflichtend durchzuführenden Risikomanagements IT-Sicherheit zu analysieren, zu bewerten und in geeigneter Weise zu behandeln.
Frage 3:
Waren der IT-Leitung die Sicherheitsbedenken des Bundes zur Umstellung auf Windows10 bekannt? Wenn ja: Warum wurde sich trotzdem für eine Umstellung auf Windows10 entschieden?
Antwort:
Die in Ihrer Anfrage angeführten Sicherheitsbedenken des Bundes wurden gemäß der angegebenen Quelle im Februar 2018 publik. Es ist daher nicht davon auszugehen, dass dieser konkrete Sachverhalt zum Zeitpunkt der Konzeption und Erstellung des Stadtratsbeschlusses „Ausplanung des IT-Gutachtens zur Neuorganisation der städtischen Informations- und Telekommunikationstechnik“ (Sitzungsvorlage Nr. 14-20/V 09983 vom 28.11.2017) bekannt war.
Dennoch wurden in dieser Beschlussvorlage die IT-Sicherheitsaspekte bei einem Umstieg auf Windows 10 thematisiert. So wird zum Beispiel in Kapitel 7.5.1 („Entscheidungsvorschlag“) der Themenbereich IT-Sicherheit als ein möglicher Nachteil einer Umstellung auf Windows 10 aufgeführt. Weiterhin wird in Kapitel 7.4 bei der Beantwortung des Stadtratsantrags Nr. 14-20/A 02860 der Stadtratsfraktion Die Linke/ÖDP vom 9.2.2017 („Die Stadt München setzt auf Software ohne Spionagefunktionen“) der Themenbereich aus verschiedenen Perspektiven beleuchtet. Die dort getroffenen Aussagen gelten natürlich ebenso im Kontext Ihrer Fragestellungen. Der entsprechende Passus ist in Anlage 1 diesem Antwortschreiben beigefügt.
Frage 4:
Was wird von der Stadt unternommen um die Sicherheitsprobleme zu beseitigen?
Antwort:
Wie in der Beantwortung zu Frage 2 angeführt, werden im Rahmen des Umsetzungsprojekts zur Einführung eines einheitlichen Arbeitsplatzsystems unter Windows 10 IT-sicherheits- und datenschutzrelevante Aspekte anhand eines standardisierten Prozesses zur Einführung neuer IT-Lösungen bei der LHM umfassend berücksichtigt und entsprechend behandelt. Konkret werden hierzu die Phasen des „Prozessmodells IT-Service“ durchlaufen, in deren Rahmen entsprechende Konformitätsprüfungen und speziell das Risikomanagement IT-Sicherheit verbindlich vorgegeben sind. In diesem Zusammenhang werden Risiken bei einem Betrieb von Windows 10 in der städtischen IT-Infrastruktur identifiziert und bewertet sowie im Anschluss über geeignete technische und organisatorische Sicherheitsmaßnahmen behandelt. Es wurden von it@M bereits ein IT-Sicherheitskonzept für einen Einsatz von Windows 10 erstellt sowie eine automatisierte Schwachstellenüberprüfung durchgeführt.
Grundsätzlich gilt, dass in diese Überprüfungen auch immer jeweils aktuelle Entwicklungen bzw. neue Erkenntnisse im Themenbereich einfließen. Insbesondere sind dies natürlich verlässliche Aussagen oder Empfehlungen von für die öffentliche Hand relevanten Stellen, wie z. B. dem BSI.
Frage 5:
Wurden Bedenken zur Sicherheit mit Microsoft diskutiert und eine Behebung vertraglich zugesichert?
Antwort:
Die Stadtverwaltung erwirbt für Windows 10 lediglich die Lizenzen für dieses Standardprodukt. Der Lizenzabruf basiert dabei auf den Konditionenverträgen, die das Bundesministerium des Inneren mit Microsoft abgeschlossen hat und die inhaltlich speziell auf die Bedürfnisse der öffentlichen Hand zugeschnitten sind.
Frage 6:
Wie ist die Aussicht auf zukünftige Microsoft Betriebssysteme in puncto Sicherheit? Gibt es Zusicherungen von Microsoft? Zeigt sich der US-Gigant entgegenkommend?
Antwort:
Konkrete Zusicherungen von Microsoft gegenüber der Landeshauptstadt München in Bezug auf die IT-Sicherheit zukünftiger Betriebssysteme von Microsoft liegen aktuell nicht vor. Seriöse Prognosen in Bezug auf die zukünftige Entwicklung in diesem Marktumfeld sind aus Sicht der Stadt nicht möglich.
Die Anlage zur Antwort kann abgerufen werden unter:
https://www.ris-muenchen.de/RII/RII/DOK/ANTRAG/4948945.pdf, Seite 5 bis 6.