Senat gefährdet IT-Sicherheit durch veraltete Internetexplorer

16.02.2016: Thomas Birk, Sprecher für Verwaltungsmodernisierung, sagt zum Umgang des Senats mit dem Supportende der Microsoft Internetexplorer 8,9, und 10:

Der Senat reagierte auf das Supportende für Microsoft Internet Explorer der Versionen 8, 9 und 10 zum 12. Januar viel zu spät und völlig unzureichend. Dies ergab die Antwort auf die Schriftliche Anfrage 17/17720 (Dokument im Anhang). Der Senat weist selbst auf die Gefahr durch nicht mehr geschlossene Schwachstellen der Browser beim Gang ins Internet hin. Um so unverständlicher, dass das IT-Dienstleistungszentrum (ITDZ) alle Berliner Behörden erst am 13. Januar, also einen Tag nach dem Supportende, auf daraus resultierende Risiken und erforderliche Sicherheitsmaßnahmen hingewiesen hat. Die Umsetzung solcher Maßnahmen überlässt der Senat der dezentralen Fach- und Ressourcenverantwortung, ein Controlling findet nicht statt.

Der Senat toppt damit sein Verhalten zum Supportende von Windows XP in 2014 und Windows Server 2003 im letzten Jahr und nimmt ein immenses Risiko für die Datensicherheit sowie die Gefahr von Cyberattacken in Kauf. Er muss unverzüglich anweisen, dass mit den Versionen 8, 9, 10 des Microsoft Internetexplorers eine Internetnutzung zu unterbleiben hat.

Das Fatale dabei ist: Der Senat weiß nicht einmal, in welchen Verwaltungen welche Browser im Einsatz sind, weil dieses nicht erhoben wird. Folglich hat er auch keinen Überblick, auf wie vielen IT-Arbeitsplätzen der Berliner Verwaltung Microsoft Internet Explorer der Versionen 8,9 und 10 noch installiert sind und genutzt werden.

Nur für die vom ITDZ betreuten IT-Arbeitsplätze gibt es hierzu eine Übersicht, und die ist erschreckend genug. Zum 12. Januar waren diese Explorerversionen noch auf 3891 IT-Arbeitsplätzen im Einsatz (das sind knapp ein Drittel der vom ITDZ betreuten IT-Arbeitsplätze), bis Ende Februar sollen 1498 davon auf die Explorerversion 11 umgestellt werden.

Da das ITDZ nur 15 Prozent der IT-Arbeitsplätze der Verwaltung betreut, bedeuten die Zahlen des ITDZ hochgerechnet auf alle IT-Arbeitsplätze der Berliner Verwaltung, dass rund 25.000 IT-Arbeitsplätze (also rund ein Drittel aller 78.000 IT-Arbeitsplätze) noch mit dem Internetexplorer 8,9 oder 10 ausgestattet sein könnten. Das Gesamtrisiko ist also erheblich.

Der Grund für die Weiternutzung der veralteten Explorerversionen liegt zum Teil bei den IT-Fachanwendungen der Behörden, die nicht rechtzeitig auf den Internet Explorer Version 11 oder andere Browser wie Firefox getestet und angepasst wurden. Dies hätte viel früher und nicht erst nach Supportende geschehen müssen. Um so unverständlicher ist die späte Warnung des ITDZ.

Auf die Frage, ob die regelmäßig durch die Erneuerungszyklen proprietärer Software auftretenden Herausforderungen nicht ein Grund für einen Strategiewechsel hin zu Open-Source-Software sein könnten, antwortet der Senat, dass auch Open-Source-Software geordnete Prozesse zur Aktualisierung notwendig mache. Nur - wie dieses Beispiel erneut zeigt - finden diese geordneten Prozesse für Software, ob proprietär oder Open Source, bis heute nicht statt.

Berlin braucht einen Chief Information Security Officer (CISO), der solche Prozesse im Interesse der IT-Sicherheit anordnen und Sanktionen bei Zuwiderhandeln verhängen kann. Der Gesetzentwurf zum E-Government-Gesetz, der dem Abgeordnetenhaus seit vier Monaten vorliegt, sieht aber keinen CISO vor. Dies muss dringend nachgebessert und dann endlich beschlossen werden.

Hier die Antwort zur Anfrage, Drs. 17/17720, vom 27.01.2016 "Wie geht der Senat mit dem Ende des Supports für den Microsoft Internet Explorer Versionen 8,9,10 ab dem 12. Januar um?":

Zugehörige Dateien:
S17-17720.pdfDownload (151 kb)
  • Seite bei Twitter teilen
  • Seite bei Facebook teilen
  • Via WhatsApp senden
Aktuell