Der Minister für Inneres und Sport hat namens der Landesregierung die Kleine Anfrage mit Schreiben vom 9. Oktober 2013 beantwortet. LANDTAG MECKLENBURG-VORPOMMERN Drucksache 6/2215 6. Wahlperiode 14.10.2013 KLEINE ANFRAGE des Abgeordneten Johannes Saalfeld, Fraktion BÜNDNIS 90/DIE GRÜNEN Open Source IT-Infrastruktur der Landesverwaltung und ANTWORT der Landesregierung In den letzten Monaten sind die Aktivitäten US-amerikanischer und britischer Geheimdienste einer globalen, tendenziell unbegrenzten Über- wachung, Speicherung und Auswertung der Internet- und Telekommuni- kationsdaten privater und öffentlicher Stellen publik geworden. Nach den bisherigen Erkenntnissen sind auch große Internet- und Telekommunika- tionsunternehmen sowie Hersteller von weitverbreiteten, proprietären Softwareanwendungen in diese geheimdienstlichen Aktionen einge- bunden. Deren Produkte werden in erheblichem Umfang auch von Landesbehörden in Mecklenburg-Vorpommern bei der Verarbeitung personenbezogener Daten in Anspruch genommen und verwendet. Proprietäre Software ist oft durch eine marktbeherrschende Stellung der Anbieter gekennzeichnet, woraus sich vielfältige, vor allem auch wirt- schaftliche und sicherheitstechnische Nachteile für den Nutzer ergeben. Es ist staatliche Pflicht, die informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität infor- mationstechnischer Systeme bei der Verarbeitung personenbezogener Daten zu schützen. Notwendige Voraussetzungen für dieses Schutzziel ist die Oberhoheit über die hierbei verwendeten Informationssysteme und damit auch die Möglichkeit einer selbstständigen, unabhängigen und zweifelsfreien Prüfung der Integrität und Vertraulichkeit von Informa- tionstechnik. Im Gegensatz zu proprietärer Software sind Nutzer von freier und quelloffener Software (Open Source Software) durch die Bereitstellung des Programmcodes dem Grunde nach in der Lage, Sicher- heitslücken zu entdecken und zu schließen. Die Anwendungen können darüber hinaus unabhängig von wirtschaft- lichen Interessen einzelner Unternehmen und den Lebenszyklen eines Produktes weiterentwickelt werden, was in Bezug auf Wirtschaftlichkeit, Effizienz und Nachhaltigkeit Vorteile für die Nutzer mit sich bringen kann. Drucksache 6/2215 Landtag Mecklenburg-Vorpommern - 6. Wahlperiode 2 1. Ist die Landesregierung der Ansicht, dass durch die eingangs erwähn- ten geheimdienstlichen Aktivitäten die Datensicherheit, Vertrau- lichkeit und Integrität der informationstechnischen Systeme des Landes und der öffentlichen Landesverwaltung gefährdet oder in nicht mehr hinreichendem Maß gegeben ist (bitte begründen)? Die Landesregierung versteht die Aufgaben zur Gewährleistung der Informationssicherheit als einen andauernden Prozess. Dadurch soll erreicht werden, dass die drei Grundwerte der Informationssicherheit - Vertraulichkeit, Verfügbarkeit und Integrität - auch bei sich verändernden Gefährdungslagen bestmöglich geschützt sind. Die in den Vorbemerkungen erwähnten geheimdienstlichen Aktivitäten berühren insbesondere die Vertraulichkeit von Informationen, deren unbefugte Kenntnisnahme es zu verhindern gilt. Da es unter anderem aufgrund geltender Sicherheitsrichtlinien und umgesetzter Sicherheits- maßnahmen grundsätzlich nicht möglich ist, vom Internet aus direkt auf die informations- technischen Systeme der Landesverwaltung und insbesondere auf die darauf abgelegten Informationen zuzugreifen, haben die geheimdienstlichen Aktivitäten keine unmittelbaren Auswirkungen auf die Sicherheit der informationstechnischen Systeme der Landes- verwaltung. 2. Welche Initiativen hat die Landesregierung vor dem Hintergrund der eingangs erwähnten Aktivitäten ausländischer Geheimdienste geplant oder bereits ergriffen, um im Rahmen des IT-Sicherheitsmanagements die Datensicherheit, Vertraulichkeit und Integrität der von der Landes- verwaltung verwendeten informationstechnischen Systeme sicherzu- stellen? Für die Landesregierung hat es keines besonderen Anlasses bedurft, der IT-Sicherheit eine essenzielle Bedeutung beizumessen. So ist die Landesregierung gegenwärtig mit der Umsetzung der Sicherheitsleitlinie des IT-Planungsrates befasst (Beschluss 2013/01 des IT- Planungsrats). Um die sich daraus ergebenden Vorgaben auf Landesebene umzusetzen, ist eine Informationssicherheitsleitlinie der Landesverwaltung von Mecklenburg-Vorpommern (IS-Leitlinie M-V) erarbeitet worden, die dem Kabinett noch in diesem Jahr zur Beschluss- fassung vorgelegt werden soll. Diese Leitlinie sieht unter anderem den Aufbau eines ressort- übergreifenden Informationssicherheitsmanagements, Maßnahmen zur Absicherung der Netz- und Kommunikationsinfrastrukturen, die Umsetzung einheitlicher Sicherheitsstandards für übergreifende IT-Verfahren und den Aufbau eines ressortübergreifenden Computer-Notfall- Teams zur gemeinsamen Abwehr von Angriffen auf die Informationstechnik vor. Landtag Mecklenburg-Vorpommern - 6. Wahlperiode Drucksache 6/2215 3 3. Wie viele identifizierte Angriffe auf die IT-Infrastruktur der Landes- verwaltung in den Jahren 2010 bis 2013 sind der Landesregierung bekannt und wie viele konnten abgewehrt werden (bitte aufschlüsseln nach Art des Angriffs, Anzahl, Jahr und Anzahl der abgewehrten Angriffe)? Zum Schutz vor Angriffen nutzen die Behörden der Landesverwaltung für ihre Internet- zugänge ein zentrales Sicherheitssystem aus Firewall- und Viruswallsystemen, welches durch die DVZ Datenverarbeitungszentrum M-V GmbH betrieben wird. Dieser zentrale Zugang ermöglicht eine konzentrierte Gefahrenkontrolle. Nach Auskunft der DVZ M-V GmbH verarbeiten die zentralen Firewall-Systeme der Landes- regierung je nach Aufkommen bis zu 50.000 Datenpakete je Sekunde. In jeder Sekunde verursachen durchschnittlich rund 10 dieser Pakete Warnmeldungen, die vom Hersteller des Firewall-Systems mit dem Level „Kritisch“ eingestuft sind. Auf diese Weise summiert sich die Zahl der pro Tag möglichen Angriffsversuche auf mehrere Hunderttausend. Angriffsarten: - SPAM/E-Mail mit schadhaften Anhängen (Viren, Trojaner, Würmer etc.) - An einem durchschnittlichen Arbeitstag erreichen die zentralen Firewall-Systeme im DVZ zirka 1,1 Mio. E-Mails. Davon sind - nur etwa 18.000 gültige E-Mails, - zirka 500 E-Mails sind mit Viren oder anderen gefährlichen Anhängen belastet. - In Spitzenzeiten (Wochenenden, Feiertage, Wahlen, bundesweite/internationale Kongresse oder Besuche von Staatsoberhäuptern) potenzieren sich diese Zahlen um ein Vielfaches. - Port-Scans (Suche nach verwundbaren Systemen): - Hacker suchen gezielt nach verwundbaren Systemen, um diese für den SPAM-Versand, die Verbreitung von zumeist urheberrechtlich geschützten Inhalten oder zur Vorbe- reitung von Denial-of-Service-Angriffen (Bei Denial-of-Service-Angriffen soll durch Überlastung der Infrastruktursysteme ein Ausfall von Netzwerkdiensten erreicht werden.) gegen Dritte zu missbrauchen. - Pro Tag sind zirka 20.000 Port-Scans festzustellen. - Pro Tag kommt es zu zirka 1.500 Denial-of-Service-Angriffen. Konkrete Statistiken darüber, wie viele Angriffe welcher Art in welchem Zeitraum festgestellt wurden, liegen bisher nicht vor. Aufgrund der hohen Sicherheitsstandards konnten die Angriffsversuche auf das zentrale Sicherheitssystem bisher aber vollständig abgewehrt werden. Drucksache 6/2215 Landtag Mecklenburg-Vorpommern - 6. Wahlperiode 4 4. Welche strategischen Vorteile und Nachteile sieht die Landes- regierung im Einsatz von proprietären Softwareanwendungen in der Landesverwaltung und wie bewertet sie den Einsatz proprietärer Software hinsichtlich der Sicherheit, Wirtschaftlichkeit, Nachhaltig- keit und Effizienz? Die IT-Strategie der Landesverwaltung ist darauf ausgerichtet, einen wirtschaftlich effizienten IT-Einsatz zu gewährleisten und den Anforderungen einer modernen Verwaltung langfristig gerecht zu werden. Der wirtschaftlich effiziente Einsatz wird insbesondere durch die Verwendung einheitlicher Standards, die im IT-Strukturrahmen der Landesverwaltung fest- gelegt sind, sichergestellt. Ob diese Standards den Einsatz „proprietärer“ oder „quelloffener“ Software vorsehen, hängt sowohl von den bestehenden fachlichen Anforderungen als auch von wirtschaftlichen Gesichtspunkten ab. Da ein großer Anteil der in der Landesverwaltung eingesetzten Fachverfahren den Einsatz von Microsoft-Betriebssystemen und Microsoft- Office-Produkten voraussetzt (unter anderem betrifft dies das Vorgangsbearbeitungssystem DOMEA), wird an den Endarbeitsplätzen der Behörden vorrangig mit proprietärer Software gearbeitet. Im Serverbereich kommt jedoch auch quelloffene Software zum Einsatz. Der standardisierte Einsatz von Microsoft-Betriebssystemen und Microsoft-Office-Produkten an den Endarbeitsplätzen ermöglicht unter anderem den zentralen Einsatz eines Software- verteilungssystems in der DVZ M-V GmbH, mit welchem bereits zirka 4.400 Endarbeits- plätze der Landesverwaltung gemanagt werden. Das bedeutet, dass die benötigte Software nur an einer Stelle für die Installation vorbereitet und konfiguriert, dann am Endarbeitsplatz bereitgestellt und anschließend regelmäßig gepflegt und mit Sicherheitsupdates versorgt wird. Von daher ist der Einsatz dieser Software im Hinblick auf Sicherheit, Wirtschaftlichkeit, Nachhaltigkeit und Effizienz positiv zu bewerten. 5. Wie bewertet die Landesregierung im Rahmen ihrer Evaluation von Markt- und Technologieentwicklungen den Einsatz von Informa- tionstechnik mit Trusted Platform Modules (TPM)- und Trusted Com- puting (TC)-Technologie in der öffentlichen Verwaltung hinsichtlich der Datensicherheit, Wirtschaftlichkeit, Nachhaltigkeit, Nutzerfreund- lichkeit und Effizienz? a) In welchem Umfang wird Informationstechnik mit TPM- und TC- Technologie in der Landesverwaltung eingesetzt? b) Ist die Landesregierung der Auffassung, dass durch den Einsatz von Informationstechnik mit TPM- und TC-Technologien die Integrität und Vertraulichkeit der in der öffentlichen Landes- verwaltung eingesetzten informationstechnischen Systeme gefährdet ist oder zukünftig gefährdet sein könnte (bitte begründen)? Die Antwort der Landesregierung auf die Frage 5 ergibt sich aus der Beantwortung der Teil- fragen 5 a) und 5 b). Landtag Mecklenburg-Vorpommern - 6. Wahlperiode Drucksache 6/2215 5 Zu a) Insbesondere mit Blick auf die Sicherheitsbedenken des Bundesamts für die Sicherheit in der Informationstechnik kann es bislang noch keine abgestimmte Linie zum Einsatz der Techno- logien geben. Derzeit erfolgt ein Einsatz - wenn überhaupt - nur im Hochsicherheitsrechen- zentrum des IT-Landesdienstleisters (DVZ M-V GmbH), wo die eigene Hoheit über den TPM-Server gegeben ist. So wird zum Beispiel ein interner RADIUS-Server (Remote Authentication Dial-In User Service) zur Client-Authentifizierung beim WLAN-Einsatz in den Ministerien betrieben. Eine Nutzung von Informationstechnik mit der genannten Techno- logie unter Einbezug von Dritten ist derzeit nicht bekannt. Zu b) Insgesamt sieht die Landeregierung den durchgängigen Einsatz von TPM- und TC- Technologie kritisch und beruft sich dabei auf die Feststellungen des Bundesamts für die Sicherheit in der Informationstechnik zu dieser Thematik. Insbesondere besteht die Gefahr, dass durch den Verlust der vollen Oberhoheit über die Informationstechnik die Sicherheits- ziele Vertraulichkeit und Integrität nicht mehr gewährleistet werden können. Grundsätzlich ähnelt TPM (Trusted Platform Module) einer in den Rechner integrierten Smartcard. Der größte Unterschied liegt darin, dass eine Smartcard einen Benutzer identifiziert, während ein TPM an eine Plattform gebunden ist. Kritiker wenden hier ein, dass sich fast alle Einsatz- szenarien für Trusted Computing auch oder besser mit einer Smartcard realisieren ließen. Die Bindung von Daten an Benutzer sei sinnvoller als die Verknüpfung mit einer bestimmten Plattform. Von daher kommen in der Landesverwaltung (beispielsweise im Polizeibereich) derzeit Smartcards anstelle von TPM zum Einsatz. 6. Wie beurteilt die Landesregierung die Sicherheitsstandards proprie- tärer Softwarelösungen gegenüber den Sicherheitsstandards freier und quelloffener Softwarelösungen, insbesondere auch im Hinblick auf die Möglichkeit der Aufdeckung und Behebung von Sicherheitslücken? Bei der Suche, Aufdeckung und Behebung von Sicherheitslücken ist quelloffene Software grundsätzlich im Vorteil. Für die Behebung solcher Sicherheitslücken muss sich die Landesverwaltung jedoch, wie bei der proprietären Software auch, auf die Bereitstellung entsprechender Sicherheitsupdates durch Dritte verlassen. Drucksache 6/2215 Landtag Mecklenburg-Vorpommern - 6. Wahlperiode 6 7. Welche Rolle spielen freie und quelloffene Software sowie offene Standards und deren Verwendung in der öffentlichen Verwaltung in der strategischen Ausrichtung der IT-Politik der Landesregierung und im IT-Masterplan des Landes? a) Welche Maßnahmen und Initiativen hat die Landesregierung im Rahmen ihrer IT-Strategie und e-Government-Strategie ergriffen, um zu prüfen, inwiefern sich die IT des Landes zukünftig mehr an offenen Standards orientieren kann und dabei auch quelloffene Software berücksichtigen kann und zu welchen Ergebnissen ist sie dabei gelangt? b) Welchen Beitrag zur Haushaltskonsolidierung und zur Opti- mierung landesbehördlicher Verwaltungsstrukturen kann nach Auffassung der Landesregierung die Verwendung freier und quell- offener Software in der IT-Infrastruktur der Landesverwaltung im Rahmen der Verwaltungsmodernisierung leisten? c) Gibt es seitens der Landesregierung Studien, welche die kurzfris- tige, mittelfristige und langfristige Kostenersparnis durch den Ein- satz von freier und quelloffener Software in der Landesverwaltung untersuchen und was sind die Ergebnisse dieser Untersuchungen? Die Antwort der Landesregierung auf die Frage 7 ergibt sich aus der Beantwortung der Teilfragen 7 a) bis 7 c). Zu a) Die E-Government-Strategie der Landesverwaltung orientiert sich an der bundesweiten E- Government-Strategie. Ein grundlegendes Ziel der bundesweiten E-Government-Strategie ist eine weitestgehende Standardisierung der in der gemeinsamen Zusammenarbeit eingesetzten Architekturen und Anwendungen, um Folgendes zu erreichen: - Interoperabilität - Gewährleistung der Zusammenarbeit verschiedener E-Government- Anwendungen, um effizient Informationen zwischen Bund, Ländern, Kommunen, Unter- nehmen und Partnern des Bundes auszutauschen, - Wiederverwendbarkeit - mehrfache Nutzung von Prozess- und Datenmodellen, Systemen, Diensten und Komponenten in verschiedenen E-Government-Projekten, um Synergie- effekte zu erzeugen, - Offenheit - Einbindung offener Standards in E-Government-Anwendungen, um deren lang- fristige Nutzbarkeit zu fördern, - Reduktion von Kosten und Risiken - Berücksichtigung investitionssicherer Entwicklungen am Markt und im Bereich der Standardisierung, - Skalierbarkeit - Sicherstellung der Nutzbarkeit von Anwendungen bei sich ändernden Anforderungen hinsichtlich Volumen und Transaktionshäufigkeit. Auf dieser Grundlage entstanden die „Standards und Architekturen für E-GovernmentAnwendungen “ - SAGA. SAGA beschreibt Standards, Technologien und Methoden für den Einsatz von Informationstechnik. Die in SAGA referenzierten Standards bilden eine Grundlage für den reibungslosen Datenaustausch im deutschen E-Government - eine wichtige Voraussetzung für eine moderne und dienstleistungsorientierte Verwaltung. Landtag Mecklenburg-Vorpommern - 6. Wahlperiode Drucksache 6/2215 7 Daher strebt der IT-Planungsrat einen deutschlandweit gültigen Standard auf der Basis von SAGA an, der dann auch für die Behörden der Landesverwaltung von Mecklenburg- Vorpommern zur Geltung kommen wird. Zu b) Durch die Verwendung von freier und quelloffener Software können gegebenenfalls Ein- sparungen durch den Wegfall von Lizenzkosten erzielt werden. Wie zu Frage 4 bereits ausge- führt, sind die Einsatzmöglichkeiten dieser Software im Bereich der PC-Endarbeitsplätze jedoch begrenzt. Außerdem stehen dem Wegfall der Lizenzkosten beim Einsatz quelloffener Software häufig zusätzliche Kosten für Schulungen, Systemumstellungen und gegebenenfalls Anpassungsprogrammierungen gegenüber. Zudem haben die bisherigen Praxisbeispiele gezeigt, dass die Kosten für die Absicherung eines kontinuierlichen Supports bei Open-Source-Lösungen potenziell höher liegen als bei den derzeit verbreiteten Closed-Source-Lösungen. Einen wirksamen Beitrag zur Optimierung landesbehördlicher Verwaltungsstrukturen kann der Einsatz quelloffener Software aus Sicht der Landesregierung nicht leisten. Zu c) Aktuelle Studien, welche die kurzfristige, mittelfristige oder langfristige Kostenersparnis durch den Einsatz von freier und quelloffener Software untersuchen, liegen in der Landes- regierung derzeit nicht vor. 8. In welchem Umfang wird derzeit bereits freie und quelloffene Soft- ware in der öffentlichen Landesverwaltung eingesetzt (z. B. Betriebs- systeme, Officeanwendungen, Fachanwendungen usw.)? Auf den PC-Endarbeitsplätzen wird freie und quelloffene Software nur begrenzt eingesetzt. Verbreitet sind hier beispielsweise der Internetbrowser Mozilla Firefox und Hilfsprogramme, wie Mediaplayer, Bildbearbeitungsprogramme, Brennwerkzeuge und Programme zum Erstellen von PDF-Dateien. Bei Office-Produkten ist Open-Source-Software - aus den in der Antwort zu Frage 4 genannten Gründen - kaum im Einsatz. Eine Ausnahme stellt jedoch das Justizressort dar. Der nachgeordnete Bereich des Justizministeriums nutzt Open Office auf zirka 2.000 Arbeitsplätzen. Im Serverbereich sind neben quelloffenen Betriebssystemen, wie LINUX, auch quelloffene Werkzeuge zur Programmentwicklung, Netzwerküberwachung und -betreuung sowie quelloffene Web-Server im Einsatz. Auch für zentrale Verfahren, die von der DVZ M-V GmbH betrieben werden, sind Linux-Server im Einsatz. Drucksache 6/2215 Landtag Mecklenburg-Vorpommern - 6. Wahlperiode 8 9. Wie bewertet die Landesregierung den Einsatz von freier und quell- offener Software in der Landesverwaltung hinsichtlich ihrer Nutzer- freundlichkeit, Wirtschaftlichkeit, Sicherheit, Effizienz, Nachhaltig- keit und in Bezug auf die ressort- und länderübergreifende Inter- operabilität sowie die Interoperabilität mit der nationalen und kommunalen Verwaltungsebene? Ebenso wie das Bundesamt für die Sicherheit in der Informationstechnik vertritt die Landesregierung hierzu die Auffassung, dass freie und quelloffene Software inzwischen eine anerkannte Alternative zu proprietären Angeboten darstellt. Gleichwohl unterliegen die Einsatzmöglichkeiten dieser Software gewissen Rahmenbedingungen, die beachtet werden müssen. Wie zu den vorherigen Fragen bereits ausgeführt, sind hierbei insbesondere Abhängigkeiten zu den Fachverfahren zu berücksichtigen. Auch müssen die Wirtschaftlich- keitsaspekte ganzheitlich betrachtet werden, da den Einsparmöglichkeiten bei den Lizenz- kosten meist erhöhte Schulungs-, Umstellungs-, und gegebenenfalls auch Anpassungs- aufwände gegenüberstehen. Zudem haben die bisherigen Praxisbeispiele gezeigt, dass die Kosten für die Absicherung eines kontinuierlichen Supports bei Open-Source-Lösungen potenziell höher liegen als bei den derzeit verbreiteten Closed-Source-Lösungen. Hinsichtlich der Interoperabilität, insbesondere bei Office-Anwendungen, ist proprietäre Software aufgrund ihres erheblich höheren Verbreitungsgrads derzeit noch klar im Vorteil. 10. Plant die Landesregierung, zukünftig verstärkt freie und quelloffene Software und offene Standards in der Landesverwaltung einzusetzen oder dies zu prüfen? Die Landesregierung sieht derzeit keine Veranlassung, von der gegenwärtigen Strategie, die zu den vorherigen Fragen bereits erläutert wurde, abzuweichen. Dem Anliegen wird aber Rechnung getragen, indem sie sich im E-Government-Bereich an den „Standards und Architekturen für E-Government-Anwendungen“ - SAGA orientiert und weiter orientieren wird.