Drucksache 17 / 16 724 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Thomas Birk (GRÜNE) vom 01. August 2015 (Eingang beim Abgeordnetenhaus am 03. August 2015) und Antwort Nachfragen zum Supportende für Windows Server 2003 Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 1. Wer haftet wie für Schäden bei Datenlecks in der Berliner Verwaltung, die durch den Einsatz von durch die Anbieter nicht weiter gepflegter Software entstehen? Zu 1.: Aufgrund der unterschiedlichen und komplexen Sachverhalte beim Einsatz der Informationstechnik ist es nicht möglich, eine allgemeingültige Antwort auf diese pauschale Fragestellung zu geben. Es ist stets eine Einzelfallbetrachtung an einem konkreten Vorfall vorzunehmen. Grundsätzlich gelten bei Haftungsfragen immer die Regelungen zur Schadenersatzhaftung im öffentlichen Dienst. 2. Warum ist der Senat der Meinung, die Server, die weiterhin mit dem Betriebssystem Windows Server 2003 betrieben werden, nicht sofort abschalten zu müssen? Zu 2.: Wie bereits in der Antwort zur Schriftlichen Anfrage Nr. 17/16638 vom 13. Juli 2015 dargelegt, stellt das Serverbetriebssystem „Windows Server 2003“ bei einem Weiterbetrieb nach dem 14.07.2015 keine unmittelbare Gefahr für die IT-Sicherheit dar. Vielmehr kann die Ausnutzung bisher unerkannter Sicherheitslücken in z.B. browserbasierenden Applikationen (ActiveX- sowie VB- und JavaScript Komponenten) und Anwendungen (wie z.B. SharePoint) ein Bestandteil möglicher Angriffsszenarien , mit dem Ziel Datenbestände und Systeme zu kompromittieren, sein. Um ein latent vorhandenes, sicherheitsbezogenes Gefährdungspotential zu minimieren, sind laufende verfahrensspezifische Migrationsszenarien zeitnah zum Abschluss zu bringen, geplante Migrationspfade für Umgebungen und Applikationen zeitlich klar zu fixieren und die Maßnahmen und Aktivitäten für eine kurzfristige Außerbetriebnahme umzusetzen. Die Verantwortung für die Durchführung dieser Maßnahmen liegt aufgrund der dezentralen Fach- und Ressourcenverantwortung bei den einsetzenden Behörden. Bei einer sofortigen Abschaltung der unter Windows Server 2003 laufenden Systeme ist davon auszugehen, dass dies zu schwerwiegenden Beeinträchtigungen der Arbeitsfähigkeit der betroffenen Bereiche führen würde. Eine derartige Maßnahme wäre nur bei unmittelbar drohender Gefahr angemessen. 3. Welche Fachverfahren sind konkret betroffen? Benötigen diese zwingend Windows Server 2003 für ihren Betrieb? Falls ja, warum wurden diese Fachverfahren nicht rechtzeitig aktualisiert, damit sie auf aktuellen Windows Server Versionen lauffähig sind? Falls nein, warum wurden die notwendigen Umstellungen nicht zeitgerecht durchgeführt? Wer hat dies für welche Fachverfahren zu verantworten (bitte konkrete Verwaltung)? Zu 3.: Von den verantwortlichen Behörden sind für insgesamt 27 der aktuell 328 IT-Verfahren eine ausschließliche Plattformabhängigkeit vom Serverbetriebssystem „Microsoft Windows Server 2003“ in der ITBestands - und Planungsübersicht eingetragen worden. Eine Übersicht zu den IT-Verfahren mit einer Plattformabhängigkeit zum Betriebssystem Windows Server 2003 und den einsetzenden Verwaltungen befindet sich in der Anlage. 4. Wer hat wann und wie die Behörden im Land Berlin „frühzeitig darauf hingewiesen“, dass das Supportende von Windows Server 2003 am 14.07.2015 ansteht? Zu 4.: Die Microsoft Support Lifecycle-Richtlinie stellt eine nachvollziehbare und vorhersagbare Richtlinie für die Produktsupportverfügbarkeit bereits ab dem Zeitpunkt der Produkteinführung für die gesamte Lebensdauer eines Produkts zur Verfügung. Im Mai 2015 wurden die aufgrund der dezentralen Fach- und Ressourcenverantwortung für den Einsatz der Informationstechnik zuständigen Stadträte der Bezirke und Staatssekretäre der Ressorts durch Staatssekretär Statzkowski schriftlich auf das Supportende hingewiesen. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 16 724 2 Ergänzend wurde in der 7. Sitzung der "Gemeinsamen Gesprächsrunde zur Weiterentwicklung von E-Government und IT-Einsatz in der Berliner Verwaltung zwischen Staatssekretär Statzkowski und den zuständigen Bezirksvertreterinnen und Bezirksvertretern " am 20.05.2015 in einem gesonderten Tagesordnungspunkt nochmals auf die Notwendigkeit zur Aktualisierung des Serverbetriebssystems hingewiesen. Das IT-Dienstleistungszentrum (ITDZ) Berlin als zentraler IT-Dienstleister des Landes Berlin hat die ITManager der Senatsverwaltungen und Bezirke am 28.05.2015 ergänzend auf das Ende des Support hingewiesen und Unterstützung zur Migration bzw. alternativ den Abschluss eines erweiterten Supportvertrags angeboten . Begleitend hierzu hat das Kundenmanagement des ITDZ Berlin die konkreten Bedarfe und Anforderungen bei den Behörden des Landes Berlins eingeholt und am 07.08.2015 über die konkret vorliegende Angebote des ITDZ Berlin zur Migration und zum erweiterten Support informiert. 5. Wann hat wer und in wessen Auftrag mit den Verhandlungen mit Microsoft über einen er-weiterten Support über den 14.07.2015 hinaus aufgenommen mit welchem Ergebnis? Wann wird der erweiterte Support zur Verfügung stehen? Zu 5.: Das IT-Dienstleistungszentrum Berlin hat Anfang Mai 2015 Vertragsverhandlungen über einen erweiterten Support "Windows Server 2003" mit der Microsoft Deutschland GmbH aufgenommen. Seitens Microsoft lag ein erstes Angebot am 06.05.2015 dem IT-Dienstleistungszentrum Berlin vor. Der erweiterte Support "Windows Server 2003 SP II" wird seitens Microsoft Deutschland GmbH vom 15.07.2015 bis 12.07.2016 angeboten . 6. Werden durch den erweiterten Support alle Sicherheitslücken durch die Firma Microsoft geschlossen, wie sie dies regelmäßig für alle aktuell unterstützten Softwareversionen von Windows Server unternimmt? Falls nicht, welche Ausnahmen gibt es? Zu 6.: Der Abschluss einer Zusatzvereinbarung ("Customer Support Agreement -CSA- für Windows Server 2003 SP2") zum bestehenden Microsoft Premier Vertrag des ITDZ stellt sicher, dass ein zeitnahes Schließen von bekanntgewordenen Schwachstellen im Serverbetriebssystem durch die Bereitstellung von Updates und/oder Patchen entsprechend dem vertraglich vereinbarten Mengengerüst sichergestellt wird. Durch das damit mögliche zeitnahe Update- und Patchmanagement wird ein wesentlicher Beitrag zur Minimierung einer bestehenden Gefährdungslage in diesem Kontext geleistet. Dennoch wäre es nicht realistisch davon auszugehen, dass grundsätzlich „alle“ zukünftig entdeckten Schwachstellen durch diesen erweiterten Support entschärft werden. Dies kann man auch bei den aktuell unterstützten Softwareversionen nicht zu 100 % annehmen. 7. Welche betroffenen Behörden haben den erweiterten Support bisher beantragt? Welches Sicherheitsrisiko sieht der Senat für betroffene Behörden, die auf diesen erweiterten Support verzichten? Zu 7.: Bisher liegen dem ITDZ Berlin lediglich Bedarfsanfragen vor. Konkrete Beauftragungen sind mit Sachstand 10.08.2015 noch nicht zu verzeichnen. Serversysteme, die keinem Patch- und UpdateManagement mehr unterliegen, sind schon vom Grundsatz her einer deutlich größeren Gefahr ausgesetzt im Zuge der Ausnutzung von neu entdeckten Schwachstellen kompromittiert zu werden. Eine hierbei mögliche Verletzung von Schutzzielen wie z.B. der Verlust der Vertraulichkeit , der Integrität und oder der Verfügbarkeit von Daten und Systemressourcen ist daher in der Gesamtheit des jeweiligen IT-Umfeldes zeitnah im Zuge einer Risikobewertung zu gewichten und zu bewerten. Die betroffene Behörde muss auf Basis der vom Bundesamt für Sicherheit in der Informationstechnik oder anderen Einrichtungen gelieferten Informationen zu aktuellen Schwachstellen das konkrete Risiko der mit Windows Server 2003 betriebenen Systeme stetig beurteilen und bei einem untragbaren Risiko das System außer Betrieb nehmen. Aufgrund der dezentralen Fach- und Ressourcenverantwortung ist dieser Zusatzaufwand durch die IT-Stellen der betroffenen Verwaltungen abzudecken. 8. Sieht der Senat die IT-Steuerung des Landes in dezentraler Fach- und Ressourcenverantwortung oder als Aufgabe gesamtstädtischer Bedeutung nach § 3 AZG? Zu 8.: Aufgrund Artikel 58 Abs. 5 und Artikel 66 Abs. 2 der Verfassung von Berlin sind die Geschäftsbereiche der Senatsverwaltungen und die Bezirke hinsichtlich der Wahrnehmung der mittelbaren Verwaltungsaufgaben eigenständig. Soweit IT-Steuerung im gesamtstädtischen Interesse notwendige Vorgaben für die Berliner Verwaltung erfordert , wird sie entsprechend wahrgenommen. Das ändert jedoch nicht die dezentralen Zuständigkeiten für die Umsetzung . Berlin, den 17. August 2015 In Vertretung Andreas Statzkowski Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 25. Aug. 2015) SenInnSport - X0657 Bearbeiter: ZS C 1 Po / Herr Pohland S17-16724 ; Fraktion B90/Grüne IT-Verfahren mit Plattformabhängigkeit Server Windows 2003 Anlage 1 zu Antwort Frage 3. Stand: 15.07.2015 Erstellt: 11.08.2015 Nummer Abkürzung Kurzbeschreibung Verantwortung Plattformabhängigkeit Server-Plattform Einsetzende Behörden Detail Bemerkung V0039 BALVI iP Lebensmittel- und futtermittelrechtliche Überwachung von Gewerbebetrieben (vormals Hamlet 2000) SenJustV - Verbraucherschutz Plattformabhängig Microsoft Windows 2003 13 SenJustV - Verbraucherschutz alle Bezirksverwaltungen V0043 BBK Bodenbelastungskataster SenStadtUm Plattformabhängig Microsoft Windows 2003 13 SenStadtUm alle Bezirksverwaltungen V0074 CEVAP Computerunterstützte Erteilung von Anwohner-Parkausweisen SenInnSport - ZS B Plattformabhängig Microsoft Windows 2003 7 BA Charlottenburg-Wilmersdorf BA Friedrichshain-Kreuzberg BA Mitte BA Spandau BA Steglitz-Zehlendorf BA Tempelhof-Schöneberg BA Pankow V0076 Condition WaffenDB Waffen- und Erlaubnisdatenbank SenInnSport - Pol Plattformabhängig Microsoft Windows 2003 1 SenInnSport - Pol V0103 EDAS/ELAN Programm zur Erhebung der Ausgleichsabgabe / Einzug der Ausgleichsabgabe SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0117 EPIDEM (Octoware) Lebensmittelpersonalüberwachung, Modul AVD, Seuchenüberwachung, Hygiene, Umweltschutz und TBC-Schutz SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 13 SenGesSoz - LaGeSo alle Bezirksverwaltungen V0143 ISYGen (ehem. GenTech-DB) Überwachung gentechnischer Anlagen SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0147 GeviScope Videoüberwachungssoftware BA Tphf.-Schbg. - FM Plattformabhängig Microsoft Windows 2003 1 BA Tempelhof-Schöneberg V0167 HSM Haus-und Seminarmanager SenBildJugWiss Plattformabhängig Microsoft Windows 2003 1 SenbildJugWiss V0202 CLAUS Clusterung Liegenschaften - Auskunft / Stellungnahmeverfahren SenStadtUm Plattformabhängig Microsoft Windows 2003 1 SenStadtUm V0228 OASIS Online-Anwendungssystem im Schwerbehindertenrecht SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0229 GMS Geschütztes Marktsegment SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 2 SenGesSoz - LaGeSo BA Lichtenberg V0230 OBIS Orthopädisches Bearbeitungs- und Informationssystem SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0251 ProJugend Berechnung und Zahlbarmachung von Jugendhilfe (ehem. ProSoz/J) SenBildJugWiss Plattformabhängig Microsoft Windows 2003 13 SenbildJugWiss alle Bezirksverwaltungen V0257 PuZMan Personal- und Zeitmanagement (Dienstvorausplanung und –verrichtung) SenInnSport - Pol Plattformabhängig HP-UX Microsoft Windows 2003 1 SenInnSport - Pol V0262 SED UnBergG SED-Unrechtsbereinigung SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo S:\2 Q\2.5 IT\2.5.2 IT-Co\Zentrales Berichtswesensystem\2015\Erhebung\Auswertungen\IT-Verfahren_Betreiber\IT-Verfahren_Bestandsdaten_20150811_Filter Windows Server2003.xls Seite 1 von 2 SenInnSport - X0657 Bearbeiter: ZS C 1 Po / Herr Pohland S17-16724 ; Fraktion B90/Grüne IT-Verfahren mit Plattformabhängigkeit Server Windows 2003 Anlage 1 zu Antwort Frage 3. Stand: 15.07.2015 Erstellt: 11.08.2015 Nummer Abkürzung Kurzbeschreibung Verantwortung Plattformabhängigkeit Server-Plattform Einsetzende Behörden Detail Bemerkung V0263 Registrierungs-DB Erfassung von Klagen, Widersprüchen im SER- und Schwerbehindertenbereich SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0264 Regreß-DB Regreß-Verwaltung SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0330 Zahlungssystem Bergmann Kassensystem (Barkasse) BA Pankow Plattformabhängig Microsoft Windows 2003 2 BA Pankow BA Spandau V0360 FINAL Natur-, Arten- und Landschaftsschutz SenStadtUm Plattformabhängig Microsoft Windows 2003 1 SenStadtUm V0410 Vistra Besucher Aufrufsystem SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 3 SenGesSoz - LaGeSo BA Charlottenburg-Wilmersdorf BA Trept.-Köpenick V0421 Praktikantenbörse Praktikantenbörse SenGesSoz - LaGeSo Plattformabhängig Microsoft Windows 2003 1 SenGesSoz - LaGeSo V0428 iBMS Integriertes Bildungsmanagementsystem SenInnSport Plattformabhängig Microsoft Windows 2003 1 SenInnSport - Fw und Pol V0458 VeraDok Bearbeitung offener Vermögensfragen im ehemaligen Landesamts zur Regelung offener Vermögensfragen (LARoV) SenFin Plattformabhängig Microsoft Windows 2003 1 SenFin V0459 LagL Datenbankverfahren des ehemaligen LagL (Lastenausgleich) SenFin Plattformabhängig Microsoft Windows 2003 1 SenFin V0460 LAROV3DB Widerspruchsdatenbank des ehemaligen Landesamts zur Regelung offener Vermögensfragen (LARoV) SenFin Plattformabhängig Microsoft Windows 2003 1 SenFin V0464 DEPOS Fachanwendung im gerichtlichen Hinterlegungswesen SenJustV - Stammhaus Plattformabhängig Microsoft Windows 2003 1 (2) SenJustV - KG (SenFin - LHK) S:\2 Q\2.5 IT\2.5.2 IT-Co\Zentrales Berichtswesensystem\2015\Erhebung\Auswertungen\IT-Verfahren_Betreiber\IT-Verfahren_Bestandsdaten_20150811_Filter Windows Server2003.xls Seite 2 von 2 S17-16724 S1716724 Anlage