LANDTAG DES SAARLANDES 16. Wahlperiode Drucksache 16/497 (16/440) 14.08.2018 A N T W O R T zu der Anfrage des Abgeordneten Dennis Lander (DIE LINKE.) betr.: Nachfrage zur Antwort der Landesregierung auf die Anfrage betreffend Kooperationsverträge mit Microsoft [Drucksache 16/406 (16/271)] Nachfrage zu Frage 4: Microsoft bietet wie auch Apple und Google mittlerweile Cloud-basierte Speicherangebote und virtuelle Sprachassistenten. Diese Assistenten und der Online-Speicher sollen dem Anwender das Leben einfacher, die Nutzung der Produkte bequemer machen. Sie sorgen allerdings auch dafür, dass die Daten, mit denen man sie füttert, in großen Silos verschwinden. Was genau die großen IT-Konzerne dann mit diesen Daten machen , bleibt nebulös. Schon alleine deshalb warnen Experten vor der steigenden Abhängigkeit der Behörden von Microsoft und empfehlen den Umstieg auf Open Source- Produkte. Die neue Landesregierung von Schleswig-Holstein hält dazu in ihrem Koalitionsvertrag fest: „Wir verfolgen den vordringlichen Einsatz von Open Source-Software, auch um Abhängigkeiten der öffentlichen Verwaltung von einzelnen Softwareanbietern so weit wie möglich zu reduzieren. Um dieses Ziel zu erreichen, werden wir unter anderem die entsprechenden Ausschreibungsbedingungen überarbeiten. Eine vollständige Ablösung ist das langfristige Ziel.“ Dazu kommt noch die Problematik des geheimen Quellcodes. Laut Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informationstechnik und einer der führenden europäischen Experten für Cyber-Sicherheit, müssen Staaten und die Europäische Union "in der Lage sein, zu testen ob Hardware und Software ihrer Informationstechnik nur das tun, was sie sollen und nichts sonst". Dafür ist es notwendig, über alle Informationen zu verfügen, um die verwendete Software auf ihre Sicherheit überprüfen zu können. Genau das ist aber bei Microsoft-Produkten nicht möglich, da das Unternehmen - im Gegensatz zu den Open Source-Anbietern - grundsätzlich den sogenannten Quellcode für seine Programme geheim hält. Ohne diesen Quellcode gibt es für Michael Waidner "keine digitale Souveränität". 2017 verbreitete sich – ausschließlich auf Windowsrechnern – die Schadsoftware WannaCry. Der Sicherheitsfehler wurde von Seiten Microsofts jahrelang nicht bemerkt, eventuell sogar bewusst nicht geschlossen. Diese Sicherheitslücke nutzte der amerikanische Geheimdienst NSA jahrelang aus, bis vermutlich ein Mitarbeiter das Geheimnis verkaufte und WannaCry entstand. Auch die Probleme mit der PC-Wahl-Software vor der letzten Bundestagswahl verdeutlichen die typischen Sicherheitsprobleme von Closed Source Software. Ausgegeben: 14.08.2018 (07.06.2018) Drucksache 16/497 (16/440) Landtag des Saarlandes - 16. Wahlperiode - - 2 - Woher nimmt die Landesregierung die Gewissheit, dass durch die von Microsoft bereitgestellten Updates „neben der Sicherheit der Daten auch die nachhaltige Absicherung der verwendeten Software gewahrt wird“? Wie beurteilt die Landesregierung die Sicherheitslage der Daten, die mit Microsoft Closed Source Software verarbeitet werden? Wenn sowohl Experten, als auch die Landesregierung von Schleswig-Holstein, aus den oben genannten Gründen, die Gefahr einer stetig steigenden Abhängigkeit von einem großen US-Konzern erkennen und für Alternativen werben, mit welcher Begründung sieht die saarländische Landesregierung in dieser Frage keinen Handlungsbedarf? Zu Frage 1: Die Pressemitteilungen der Vergangenheit haben gezeigt, dass Sicherheitslücken sowohl bei Closed Source- als auch Open Source-Software auftreten. Heutige Software besteht aus unterschiedlichen ineinandergreifenden und vernetzten Komponenten. Gerade hierin besteht ein großes Sicherheitsrisiko. Unternehmen wie Microsoft legen jedoch sehr großen Wert darauf, dass ihre Software mit anderen Softwareprodukten sicher zusammenarbeitet. Hierfür stellen sowohl Microsoft als auch Mitbewerber entsprechende Updates im Rahmen ihrer Lizenzverträge zur Verfügung Zu Frage 2: Nicht Open Source oder Closed Source sind der Schlüssel zu mehr Sicherheit, sondern eine Kombination aus proaktiven Maßnahmen und mehr Transparenz. Dabei spielt es keine Rolle, ob der Sourcecode von Third-Party-Komponenten proprietär ist oder nicht. Eine wesentlich größere Bedeutung ist die Kenntnis darüber, ob eine Komponente eine Schwachstelle aufweist oder ob sie auf dem aktuellen Stand (Patchmanagement ) ist. Microsoft untersucht seine und in Teilen auch die Softwarekomponenten der Zulieferer und gibt hierzu entsprechende Updates (Patches) heraus, um die Sicherheit des Gesamtkonstrukts nachhaltig zu gewährleisten. Nachfrage zu Frage 7: Laut Ihrer Antwort gilt das Projekt LiMux als gescheitert. Die Suche nach Gründen für dieses „Scheitern“ sind jedoch weniger im technischen, als mehr im politischen Bereich zu finden. Zunächst einmal hat LiMux mit den Vorurteilen, das Linux in öffentlichen Verwaltungen nicht praktikabel, fehlerbehaftet und unsicher sei, aufgeräumt. Die Mitarbeiter der Stadtverwaltung waren nicht unzufrieden mit dem System. Dann wurde Dieter Reiter (SPD) Oberbürgermeister, nicht mehr in einer rot-grünen, sondern einer rot-schwarzen Koalition. Er holte eine neue Microsoft-Zentrale nach München und prompt folgte auch die Rückkehr der Stadtverwaltung zu Windows. Der Bund der Steuerzahler lässt mit seiner Kritik wichtige Punkte unberücksichtigt: Zum einen die rund 11 Millionen Euro, die die Stadt München seinerzeit einsparen konnte, weil es keine Lizenzen für Windows und Microsoft Office kaufen musste und weniger neue Hardware für das ressourcen-hungrige Windows anschaffen musste. Drucksache 16/497 (16/440) Landtag des Saarlandes - 16. Wahlperiode - - 3 - Vor allem aber analysiert der Bund der Steuerzahler überhaupt nicht, warum die Linuxbasierte IT-Infrastruktur nicht beibehalten wird und München stattdessen zu Windows zurückkehren will. Es fehlt jegliche technische Analyse im Bericht des Steuerzahler- Bundes, und er geht auch nicht auf die vermutlich politischen Gründe für den erneuten Umstieg von Linux zu Microsoft ein. Außerdem geht der Bund der Steuerzahler nicht der Frage nach, wieso der Umstieg von Windows zu Linux in München scheitern soll, wenn andere Städten wie Schwäbisch -Hall den Wechsel durchaus erfolgreich stemmen. Sind der Landesregierung die Gründe für die Beendigung des LiMux-Projektes bekannt? Wenn ja, welche? Wenn nein, inwiefern beeinflusst die Beendigung des Projektes in München die Landesregierung in der Frage „Beibehaltung von Microsoft oder Wechsel auf Open Source-Systeme in der Landesverwaltung“? Beabsichtigt die Landesregierung neben dem Projekt in München, auch weitere Open Source- Projekte zu beobachten und auszuwerten? Auch solche, die seit Jahren betrieben werden und als erfolgreich gelten (Schwäbisch-Hall, Mannheim, Toulouse)? Zu Frage 1: Die Landesregierung ist primär zuständig für die auf Landesebene eingesetzte Software . IT-Verfahren und damit zusammenhängende Software der kommunalen Seite sind primär Sache der Kommunen im Rahmen der kommunalen Selbstverwaltung. Die auf Landesebene vorherrschenden IT-Verfahren und eingesetzten Softwareprodukte sind strukturell verschieden von denen auf kommunaler Seite. Für die Landesregierung ist die Offenheit für in Länderverbünden erstellte Lösungen oder Fachverfahren von primärer Bedeutung. Nur bei Verwendung der gängigen Standards (derzeit Microsoft-Software auf den Endgeräten), kann sichergestellt werden, dass solche Lösungen auch kompatibel sind und ggf. auch im Saarland eingesetzt werden können. In diesen Fällen können oft entsprechende Kosten für Planung und Entwicklung eigener Lösungen eingespart werden. Zu Frage 2: Die Landesregierung bewertet die eigenen IuK-Infrastrukturen. Eine permanente „Beobachtung“ von Open Source-Projekten bzw. –Entscheidungen der Kommunen ist wegen struktureller Unterschiede in den technischen Strukturen der kommunalen IT wenig zweckmäßig. Zudem koordiniert der IT-Planungsrat als zentrales Gremium für die föderale Zusammenarbeit in der Informationstechnik nicht nur die Zusammenarbeit von Bund und Ländern. Vielmehr beschließt er auch fachunabhängige und fachübergreifende IT- Interoperabilitäts- und IT-Sicherheitsstandards. Diese Beschlüsse entfalten Bindungswirkung und sind vom Bund und den Ländern innerhalb der vom IT-Planungsrat festgelegten Fristen umzusetzen. Drucksache 16/497 (16/440) Landtag des Saarlandes - 16. Wahlperiode - - 4 - Nachfrage zu Frage 8: In Wissenschaft und Wirtschaft ist Open Source mittlerweile Standard. Zum einen aus Kostengründen, zum anderen, weil die stetige Weiterentwicklung der Systeme wesentlich dynamischer ist, wenn sich viele kreative Geister weltweit daran beteiligen als wenn ein einziges Unternehmen hierfür verantwortlich zeichnet. Dietmar Harhoff, Direktor des Max-Planck-Instituts für Innovation und Wettbewerb in München warnt: „Es ist noch nicht empirisch belegt, aber es ist logisch anzunehmen, dass die Abhängigkeit von dem einen Anbieter den technischen Fortschritt im öffentlichen Sektor bremst“. Wenn Bund, Länder und Kommunen ihre vielen hundert Fachprogramme auf Open Source-Basis entwickeln würden, dann könnte jede Innovation sofort von allen anderen öffentlichen Verwaltungen ohne zusätzliche Kosten genutzt werden. „Dieses Potenzial für die öffentliche Hand ist enorm“, meint Harhoff. Microsoft ist allerdings nicht an Kostensenkungen für die öffentliche Hand interessiert, sondern am Erhalt seiner Monopolstellung und dem Verdienst an der Abhängigkeit seiner Kunden. Als 2014 die Lieferung von Sicherheitsupdates für Windows XP eingestellt wurden, waren staatliche Institutionen in ganz Europa „gezwungen“ teure Service -Verträge mit dem Konzern abzuschließen, damit dieser weiterhin Sicherheitslücken in seinem alten Programm schließt. In drei Jahren enden die Updates für Windows 7 – dann muss erneut tief in die Tasche gegriffen werden. Im Übrigen findet europaweit mittlerweile ein Umdenken, hin zu mehr digitaler Unabhängigkeit und offenen Standards statt. 2017 haben in Tallinn 32 für E-Government zuständige EU-Minister ihre Absicht erklärt, Linux & Co. sowie offene Standards voranzutreiben . Zudem werde die EU-Kommission angehalten, diese Vorgabe beim Ausbau ihrer IT-Infrastrukturen zu berücksichtigen. Der IT–Dienstleister der Bundesverwaltung, ITZ Bund, hat sich kürzlich für die Open Source-Software Nextcloud entschieden, mit deren Hilfe bis zu 300.000 Anwender, die in verschiedenen Ministerien und Bundesbehörden tätig sind, ihre Dateien austauschen sollen. Unsere französischen Nachbarn nutzen bereits in 15 von 22 Ministerien Open Source-Programme. In Schweden ist der Anteil quelloffener Software in Verwaltungen in den letzten vier Jahren von 15 auf 20 Prozent gestiegen. Und Italien beispielsweise verpflichtet bereits seit 2012 jede italienische Verwaltung dazu, primär Open Source zu wählen. Das oft gelobte „IT-Land Saarland“ mit seiner gut aufgestellten IT- und Forschungslandschaft, innovativen Unternehmen und renommierten Forschungsinstitute (u.a. CISPA, Max-Planck Institute oder das DFKI) bietet die besten Voraussetzungen um an der Entwicklung und Verbesserung innovativer Anwendungen zu arbeiten. Sieht die Landesregierung hier nicht auch eine Chance, die Entwicklung hin zu offenen Standards aktiv zu unterstützen und eine Vorreiterrolle zu übernehmen? Wurden seitens der Landesregierungen Berechnungen angestellt, welcher Betrag sich im Saarland durch die Umstellung auf Open Source- Produkte einsparen ließe? Wenn ja, mit welchem Ergebnis? Wenn nein, warum nicht? Wird die Landesregierung diesbezüglich Berechnungen durchführen? Wenn ja, wann? Wenn nein, warum nicht? Drucksache 16/497 (16/440) Landtag des Saarlandes - 16. Wahlperiode - - 5 - Zu Frage 1: Das Land arbeitet in zahlreichen Projekten mit Forschungsinstituten wie dem CISPA Helmholtz-Zentrum i.G., dem DFKI, dem Fraunhofer Institut und mit verschiedenen Lehrstühlen an der Universität des Saarlandes zusammen, um deren innovatives Gedankengut in die Projekte einzubringen. Eingebunden waren die Institute bei Expertisen , Beratungen, Studien und der Entwicklung von (IT-Sicherheits-) Konzepten. So war das DFKI beispielsweise an der Konzeptionierung einer sicheren WLAN- Infrastruktur in einer Landesdienststelle beteiligt, das Institut für Wirtschaftsinformatik übernahm die wissenschaftliche Begleitforschung der Verkehrsunfall-App zur mobilen Verkehrsunfallerfassung bei der Polizei im Saarland. Das Institut für Rechtsinformatik an der Universität des Saarlandes unterstützte die Überlegungen zu Sicherheitsmaßnahmen und zur Entwicklung offener Standards beim Dokumentenmanagementsystem der Landesverwaltung im Hinblick auf die Verarbeitung von Daten mit erhöhtem Schutzbedarf. Zu Frage 2: Sowohl bei den unter 1. genannten, als auch bei zahlreichen anderen IT-Projekten und –Verfahren ist Open Source Software unter Nutzung offener Standards integraler Bestandteil . So werden aus technischen als auch wirtschaftlichen Gründen zahlreiche Serverbetriebssysteme, Datenbanken, Webserver, Applikationsserver, Gateways usw. mit Open Source-Software betrieben. Im Bereich der Endgeräte werden zahlreiche Applikationen aus Länderverbünden heraus (für Windows) entwickelt und genutzt. Vor dem Hintergrund wirtschaftlicher Gesichtspunkte profitiert das Saarland sehr stark von diesen Entwicklungen, da das Land gemäß Königsteiner Schlüssel nur einen sehr geringen Beitrag zu den Kosten leisten muss. Aufgrund der Komplexität ist eine valide Berechnung, was ein genereller Umstieg auf Open Source kosten würde, nicht möglich. Zu Frage 3: Siehe Antwort zu Frage 2.