Schriftliche Anfrage der Abgeordneten Katharina Schulze BÜNDNIS 90/DIE GRÜNEN vom 03.02.2014 IT-Sicherheit in Bayern – Supportende von Windows XP Am 8. April 2014 endet der Support von Microsoft für das mittlerweile über 12 Jahre alte Betriebssystem Windows XP, lediglich einige wenige Sicherheitsdienste erhielten noch eine letzte Verlängerung bis Juli 2015. Damit wird nach Aussage von Fachleuten das Sicherheitsrisiko für mit Windows XP ausgestattete Arbeitsplätze signifikant ansteigen. Das Betriebssystem war über lange Jahre das am weitesten verbreitete in deutschen und bayerischen Behörden und ist auch heute noch auf vielen Rechnern im Einsatz. Vor diesem Hintergrund frage ich die Staatsregierung: 1. Wie viele mit Rechnern ausgestattete Arbeitsplätze betreiben die Staatsregierung und die nachgeordneten Behörden in Bayern? a) Welche Betriebssysteme kommen dabei zum Einsatz (bitte prozentuale Aufschlüsselung)? b) Wie viele der mit Windows XP ausgestatteten Rechner sollen bis zum Stichtag am 8. April 2014 auf eine Plattform migriert sein? 2. Wie beurteilt die Staatsregierung die Veränderung der Sicherheitslage durch das Supportende von Windows XP? a) Wurden diesbezüglich bereits Maßnahmen eingeleitet, z. B. im Hinblick auf den besonderen Schutz sensibler Daten von Bürgerinnen und Bürgern? b) Wenn ja, in welcher Höhe belaufen sich die Kosten der anfallenden Maßnahmen? 3. Wie beurteilt die Staatsregierung den Einsatz freier Software an ihren Arbeitsplätzen? a) Wie hoch schätzt die Staatsregierung das Einsparpotenzial durch freie Software durch die Einsparung der Lizenzen für Software von Microsoft oder anderen Anbietern ein? 4. Bestehen mit Softwareherstellern wie z. B. Microsoft längerfristige Verträge? a) Wenn ja, in welchem finanziellen und zeitlichen Umfang ? 5. Wie viele Angriffe auf die IKT-Infrastruktur des Freistaats Bayern wurden in den Jahren 2011, 2012 und 2013 verzeichnet? a) Wie viele der mit Windows XP ausgestatteten Arbeitsplätze kommen in oder für kritische Infrastrukturen zum Einsatz? b) Werden in diesem Bereich gesonderte Maßnahmen zur Gefahrenabwehr getroffen? Antwort des Staatsministeriums der Finanzen, für Landesentwicklung und Heimat vom 29.04.2014 1. Wie viele mit Rechnern ausgestattete Arbeitsplätze betreiben die Staatsregierung und die nachgeordneten Behörden in Bayern? a) Welche Betriebssysteme kommen dabei zum Einsatz (bitte prozentuale Aufschlüsselung)? b) Wie viele der mit Windows XP ausgestatteten Rechner sollen bis zum Stichtag am 8. April 2014 auf eine Plattform migriert sein? 2. Wie beurteilt die Staatsregierung die Veränderung der Sicherheitslage durch das Supportende von Windows XP? a) Wurden diesbezüglich bereits Maßnahmen eingeleitet , z. B. im Hinblick auf den besonderen Schutz sensibler Daten von Bürgerinnen und Bürgern? b) Wenn ja, in welcher Höhe belaufen sich die Kosten der anfallenden Maßnahmen? Aufgrund des inhaltlichen Zusammenhangs werden die Fragen 1 und 2 gemeinsam beantwortet. Im Bayerischen Behördennetz befinden sich ca. 120.000 PCs und Notebooks der bayerischen Staatsverwaltung. Ca. 15.000 davon sind über spezielle Server an das Behördennetz angebunden, die das Betriebssystem dieser Geräte überlagern. Eine Umstellung des Betriebssystems ist bei diesen Rechnern daher nicht erforderlich, sodass insgesamt 105.000 PCs von der Schriftlichen Anfrage erfasst sind. Grundsätzlich zu unterscheiden sind Server- und Clientbetriebssysteme . Microsoft Windows XP ist ein sog. Client- oder auch Desktopbetriebssystem. Folgende Desktopbetriebssysteme kommen in der bayerischen Staatsverwaltung zum Einsatz: – Microsoft Windows XP – Microsoft Windows 7 – Linux – Microsoft Windows Vista – Windows 8 Sämtliche Ressorts, die noch Windows XP im Einsatz hatten , wurden im November 2013 nochmals auf das nahende Supportende hingewiesen. Zum Supportende werden einer aktuellen Umfrage zufolge vorübergehend noch 30.541 PCs unter Windows XP betrieben werden. Deren Migration soll in der zweiten Jahreshälfte abgeschlossen sein. Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de – Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 13.06.2014 17/1756 Bayerischer Landtag Seite 2 Bayerischer Landtag · 17. Wahlperiode Drucksache 17/1756 3. Wie beurteilt die Staatsregierung den Einsatz freier Software an ihren Arbeitsplätzen? Die IuK-Strategie aus dem Jahr 2005 beinhaltet bereits die Maßgabe, Open Source Software (OSS, freie Software) grundsätzlich zu bevorzugen, so sie in gleicher Eignung (fachlich und wirtschaftlich) zur Kaufsoftware steht. OSS ist im Serverbereich in den staatlichen Rechenzentren noch vor Microsoft das führende Betriebssystem und kommt zudem auch als Anwendungssoftware am Arbeitsplatz zum Einsatz (z. B. bayer. Vermessungsverwaltung). Im Bereich Desktopbetriebssysteme (PC) und Office-Pakete ist Microsoft der de-facto-Standard. a) Wie hoch schätzt die Staatsregierung das Einsparpotenzial durch freie Software durch die Einsparung der Lizenzen für Software von Microsoft oder anderen Anbietern ein? Speziell bei den Desktopbetriebssystemen und Office-Paketen steht in der Wirtschaftlichkeitsberechnung auf der einen Seite die relativ hohe Einsparung bei den Lizenzkosten, andererseits müssen jedoch fehlende Funktionalität, Interoperabilität und Qualität mittels nicht unerheblichem Ressourceneinsatz ausgeglichen werden. Allein eine Migration aller Fachverfahren auf OSS-Produkte würde viele Jahre und erhebliche Kosten ohne einen Mehrgewinn an Fachlichkeit für die Anwender bedeuten. Hinzu kommen Kosten für Schulung und Einführung. 4. Bestehen mit Softwareherstellern wie z. B. Microsoft längerfristige Verträge? Mit großen Softwareherstellern bestehen Rahmenvereinbarungen , die eine Beschaffung zu günstigeren Konditionen ermöglichen. Unter anderem ist der Freistaat Bayern dem Konzernvertrag (Enterprise Agreement für die öffentliche Verwaltung) des Bundes mit der Fa. Microsoft beigetreten. Über einen Handelspartner können entsprechende Softwarelizenzen beschafft werden. a) Wenn ja, in welchem finanziellen und zeitlichen Umfang? Bei der Beschaffung von Software bzw. Softwarelizenzen wird je nach Erfordernis häufig ein Supportvertrag zur Softwarepflege und Berechtigung für Upgrades geschlossen. Die Fa. Microsoft bietet hierzu Enterprise Agreement (EA) bzw. Select Verträge mit fester Laufzeit an. Die Softwarekosten für alle im Freistaat Bayern eingesetzten Verfahren belaufen sich auf rund 90 Mio. Euro pro Jahr. 5. Wie viele Angriffe auf die IKT-Infrastruktur des Freistaats Bayern wurden in den Jahren 2011, 2012 und 2013 verzeichnet? Die IT-Systeme und Netzwerke des Freistaats sind durch umfangreiche Sicherheitsmechanismen geschützt. Besonders sensible und kritische Bereiche werden zusätzlich durch weitere, hoch effektive technische, physische und organisatorische Maßnahmen gesichert. Angriffe auf die IT-Infrastruktur der Bayerischen Staatsregierung werden bereits an der Außengrenze (sog. Perimeterschutz ) des Bayerischen Behördennetzes durch diverse Sicherheitssensoren erfasst und aktiv abgewehrt. Die Anzahl der erfassten Angriffe sind von ca. 20.000 Ereignissen pro Tag im Jahr 2011 nahezu linear auf ca. 40.000 Ereignisse pro Tag im Jahr 2013 gestiegen. Davon werden bereits 99,999 % der Fälle automatisch geblockt. a) Wie viele der mit Windows XP ausgestatteten Arbeitsplätze kommen in oder für kritische Infrastrukturen zum Einsatz? Vereinzelt verbleibende Windows-XP-PCs werden, wie in den Ziffern 2 a und 2 b beschrieben, durch den Abschluss von Serviceverträgen auch über April 2014 hinaus bis zu ihrer Ablösung mit Sicherheitsupdates versorgt und durch weitere Einzelmaßnahmen abgesichert. b) Werden in diesem Bereich gesonderte Maßnahmen zur Gefahrenabwehr getroffen? Überwacht werden alle Systeme vom sog. Computer Emergency Response Team („CERT“). Gleichzeitig wird die IT-Sicherheitsstrategie laufend weiterentwickelt. Neue Sicherheitsmaßnahmen wie Profiling (Entschlüsselung von Angriffsmustern) und noch schnelleres Aufspüren erfolgreicher Angriffe („Intrusion Detection“) werden die IT-Systeme des Freistaats zukünftig noch sicherer machen.