schutz-Grundverordnung stellt eine wichtige und zentrale Neuerung der europäischen Bemühungen um einen
gestärkten Datenschutz dar. Darüber hinaus bietet sie für Auftragnehmer einen möglichen Wettbewerbsvorteil.
Jetzt gilt es, die Herausforderungen der Umsetzung dieser Vorgaben anzunehmen und die entsprechende Ausgestaltung effektiv zu begleiten. Über diese Entwicklungen werde ich auch in den kommenden Tätigkeitsberichten
informieren.
10.2.11.3 Windows XP - ein langer Abschied
Der Support für das Betriebssystem Windows XP wurde am 14. April 2014 eingestellt. Obwohl der Hersteller
Microsoft die Öffentlichkeit bereits im April 2009 darüber informiert hatte, kam das Ende des Supports für viele
überraschend. In meinem Zuständigkeitsbereich hat die Ablösung teilweise längere Zeit beansprucht, nicht
zuletzt wegen der sehr unterschiedlichen Einsatzszenarien.
Die Einstellung des Supports durch Microsoft bedeutet für die Nutzung von Windows XP, dass keine Produktaktualisierungen in Form von Service Packs und Sicherheitsupdates (sog. Hotfixes etc.) mehr bereitgestellt
werden. Dadurch bestand für die Arbeitsplatzsysteme in der Bundesverwaltung das Risiko, dass Sicherheitslücken ausgenutzt und nicht behoben werden könnten und somit auch der Schutz personenbezogener Daten auf
diesen Systemen nicht mehr gewährleistet wäre. Um mir einen Überblick über den Stand der Ablösung von
Windows XP in der Bundesverwaltung zu verschaffen, habe ich Ende 2015 eine entsprechende Abfrage bei den
verantwortlichen Stellen durchgeführt. Diese umfasste Angaben zur Netzwerkanbindung dieser Systeme, zu
möglichen Gefahren für die Vertraulichkeit und Integrität von personenbezogenen Daten durch den Einsatz von
veralteten Systemen, sowie zur geplanten Ablösung dieser Systeme (Zeitpunkt und Übergangslösung - vgl.
Kasten zu Nr. 10.2.11.3).
Zusammenfassend kann festgestellt werden, dass in allen Behörden der Bundesverwaltung Maßnahmen zur
Ablösung kritischer Arbeitsplatzsysteme ergriffen wurden und entsprechend Planung bis Ende 2015 bzw. 2016
größtenteils abgeschlossen werden sollen.
Ausnahmen betreffen sogenannte „Embedded Systems“, hierbei handelt es sich um spezielle Systeme, die im
Normalfall nicht an ein Netzwerk angeschlossen sind und keinen Internetzugang haben. Eine weitere Ausnahme
bildet leider die Deutsche Rentenversicherung, wo mit der Umstellung in kleineren Außenstandorten und der
mobilen IT-Systeme mit Anbindung an das Datennetz der DRV-Bund bis Ende 2016 noch immer nicht begonnen wurde. Entsprechend DRV Bund soll die vollständige Umstellung auf Windows 7 bis zum Ende des ersten
Halbjahres 2017 abgeschlossen sein (vgl. u. Nr. 3.2.3.4).
Einige große Behörden wie das Bundeministerium der Verteidigung haben mit der Firma Microsoft Sonderverträge abgeschlossen, um auch nach dem Supportende für einen begrenzten Zeitraum Sicherheitsupdates und
Unterstützung erhalten zu können.
Behörden, die diese Möglichkeit nicht nutzen können, haben überwiegend das Problem, aufgrund der fehlenden
Möglichkeit, Fach-/Spezialanwendungen auf ein anderes Betriebssystem zu portieren, kritische Arbeitsplatzsysteme nicht kurzfristig und mit vertretbarem finanziellem Aufwand ablösen zu können. Dies haben auch Kontrollen meinerseits bestätigt. In den meisten Fällen sind diese Systeme nicht an ein Netzwerk angeschlossen bzw. es
wurden Maßnahmen ergriffen, diese Systeme entsprechend abzusichern. Für spezielle Systeme, wie z. B. medizinische Geräte oder Systeme zur Authentisierung von Sicherheitstoken, kann nur der Hersteller dieser Systeme
eine Lösung bereitstellen.
Daher fordere ich alle Hersteller von Produkten, die ein sog. „embedded Windows XP“ oder ein anderes veraltetes Betriebssystem nutzen, auf, schnellst möglich eine Lösung auf Basis eines aktuellen Betriebssystems bereitzustellen.
Mit Blick auf das Supportende 2020 für das Betriebssystem Windows 7 bzw. 2025 für Windows 8 begrüße ich
die Bereitstellung eines einheitlichen, sicheren und transparenten Clientbetriebssystems für die Bundesverwaltung im Rahmen der IT-Konsolidierung des Bundes und hoffe, dass dieses Angebot umfangreich und rechtzeitig
durch die Bundesverwaltung in Anspruch genommen wird.
Kasten zu Nr. 10.2.11.3
Das Ergebnis der Abfrage entspricht dem Stand von Dezember 2015 und ist in der unten stehenden Tabelle
zusammengefasst. In der rechten Spalte ist die Rückmeldung der Bundesbehörden dargestellt.
BfDI 26. Tätigkeitsbericht 2015-2016
– 121 –