SCHLESWIG-HOLSTEINISCHER LANDTAG                    Drucksache   18/1812 18. Wahlperiode                                                     23.04.2014 Kleine Anfrage des Abgeordneten Uli König (PIRATEN) und Antwort der Landesregierung - Ministerpräsident Einsatz von Windows XP und Office 2003 (Nachfrage) Vorbemerkung des Abgeordneten: Am 8. April 2014 hat Microsoft den Support für Windows XP sowie für Office 2003 eingestellt. Wie Medien berichten, haben die britische und die niederländische Regie- rungen Service-Verträge mit Microsoft geschlossen, um für ein weiteres Jahr Sicher- heitsupdates für das Betriebssystem Windows XP und weitere Microsoft-Produkte zu erhalten. 1. Wie viele Installationen von Microsoft Windows XP sind, nach dem Stichtag 8. April, beim Land und seinen Einrichtungen weiterhin in Betrieb? Bitte aufschlüs- seln nach: Name der Einrichtung, Anzahl der Installationen, Anzahl der Nutzer (z.B. bei Terminalserver-Lösungen), Gründen, weshalb noch Windows XP einge- setzt wird, Ob die Computer direkt mit dem Internet verbunden sind, Ob die Com- puter indirekt mit dem Internet verbunden sind (z.B. über eine Firewall), Ob die Computer E-Mails senden oder empfangen können, ob ausgeschlossen werden kann, dass die Räume in denen die Computer oder Netzwerkzugangsdosen mit Verbindungsmöglichkeiten zu diesen Computern run um die Uhr vor dem Zutritt von Personen geschützt sind, die keinen Zugriff auf die Daten auf dem Betroffe- nen Computer haben. 1

Drucksache 18/1812          Schleswig-Holsteinischer Landtag - 18. Wahlperiode Antwort: Installationen innerhalb des Landesstandards Im Landesstandard ist Windows XP nicht weiter vorgesehen. Siehe KA 18/1536, Frage 1. Installationen außerhalb des Landesstandards Steuerverwaltung: Beim Amt für Informationstechnik und in den Finanzämtern sind noch ca. 5.000 Installationen von Windows XP im Einsatz, die von ca. 4.300 Mitarbeite- rinnen und Mitarbeitern genutzt werden. Davon sind 200 Installationen mit dem Internet verbunden (sog. Internet-PC). Bei den übrigen Installationen ist ein Internet-Zugang als Terminalserver-Lösung realisiert, die ihrerseits nicht auf Windows XP basiert und indirekt (über eine Firewall) mit dem Internet ver- bunden ist, sodass 4.800 Installationen von Windows XP nicht selbst mit dem Internet verbunden sind. Senden und Empfangen von E-Mails ist möglich, dabei werden eingehende Mails zentral auf gefährliche Inhalte untersucht. Bei den Räumen, in denen die betr. Computer und Netzwerkdosen installiert sind, handelt es sich um die Büros der Mitarbeiterinnen und Mitarbeiter sowie um Besprechungs- und Schulungsräume der Steuerverwaltung. Sie sind da- mit, dem in der Steuerverwaltung üblichen Standard entsprechend, vor dem Zutritt unberechtigter Personen gesichert. Der Weiterbetrieb von Windows XP erfolgt vor dem Hintergrund, dass die Ab- lösung im Rahmen eines mehrjährigen Projekts, bei dem die Einführung eines neuen Betriebssystems nur Nebeneffekt ist, bereits in Arbeit ist. Angesichts der überschaubaren Restlaufzeit erscheint das mit dem Weiterbetrieb verbun- dene Risiko kalkulierbar, zumal schon jetzt die wesentlichen Fachanwendun- gen, mit denen die Daten der Steuerpflichtigen bearbeitet werden, als Termi- nalserver-Lösung realisiert sind. Landespolizeiamt: LSK im Bereich der Landespolizei: - noch knapp 210 Arbeitsplätze mit XP und Office 2003 in Betrieb, (Bereiche in PDAFB, LKA 1-5, LPA 1/3, Stab, AFK sowie EDDI Rechner auf den Kripo Dienststellen); Migration läuft. Die Arbeitsplätze verfügen nicht über einen direkten Zugang zum Internet, sondern über einen geschützten Zugang via Windows Terminal Server auf Ci- trix - MZB Groß Nordsee (GBG1): LSK komplett auf +1 umgestellt, keine Ar- beitsplätze mit XP oder Office 2003 mehr vorhanden. Dabei ist für LSK zu bemerken, dass es sich um 210 von 6313 Arbeitsplätzen der Landespolizei handelt, also um 3.33 %. Für eine detaillierte Aufschlüsselung siehe Anlage 1. 2

Schleswig-Holsteinischer Landtag - 18. Wahlperiode      Drucksache 18/1812 Nachgeordneter Bereich MELUR: LLUR: es handelt sich dort um 4 PCs, die ausschließlich als Steuerungsrechner an Messgeräten der Lufthygienischen Überwachung (LÜSH) betrieben werden. Diese 4 Rechner aus dem Messnetz sind nicht Teil der +1-Infrastruktur und können aufgrund der unmittelbaren Verknüpfung mit den technischen Messge- räten aktuell nicht durch Windows 7 ersetzt werden. Die zum jeweiligen Mess- gerät gehörenden XP-Arbeitsplätze werden durch den Messgerätehersteller geliefert und supportet. Es ist organisatorisch geregelt, dass diese Rechner keinen direkten Zugang zum Internet haben. Für eine Umrüstung auf ein an- deres Betriebssystem wäre eine komplette Neubeschaffung der Messumge- bung (einschließlich Messgeräten) erforderlich, was sehr hohe Kosten auslö- sen würde. LSH: - Anzahl der WindowsXP-Installationen: 66 - Gründe für den Einsatz: Anforderungen der Laborsoftware, Hardware, Up- date entbehrlich, da kein Internetzugang erforderlich. - Internet-Anbindung: Verbindung nur indirekt über Proxy-Server. Der Proxy ist so konfiguriert, dass die Internet-Anbindung für die XP-Rechner komplett ge- sperrt ist. - Empfang von E-Mails: Zugriff auf den IMAP-Server des LSH ist über Web- Client möglich. - Zugang zu den Räumen: Es gelten die Regelungen gem. IT-Sicherheits- Dokumentation. MWAVT: Vorbemerkung: Alle Arbeitsplätze sind mit +1 (Windows7 und Office 2010) ausgestattet. Fachanwendungsbedingt existieren parallel dazu 5 XP/Office2003 Installationen, die jedoch keinen Internetzugang haben. 5 XP Installationen, 5 Nutzer, 0 direkt oder indirekt mit dem Internet verbun- den, kein Emailversand, alle Büro’s sind mit einer elektronischen Zutrittslö- sung ausgestattet. Zugang zu relevanten Netzwerkdosen ist somit nur gewalt- sam möglich. LBV: 11 XP Installationen, 11 Nutzer,9 indirekt mit dem Internet verbunden, Gründe: Die Fachanwendung läuft nicht unter +1. 3

Drucksache 18/1812            Schleswig-Holsteinischer Landtag - 18. Wahlperiode Nachgeordneter Bereich MJKE / Staatsanwaltschaften: Es sind weiterhin insgesamt 647 Installationen von Windows XP im Betrieb. Diese verteilen sich auf folgende Einrichtungen: Amtsgerichte:               407 Landgericht Kiel:           206 Finanzgericht:              30 Generalstaatsanwaltschaft: 4 Da keine dieser Installationen mit dem Internet verbunden ist, wird das Risiko des vorübergehenden Weiterbetriebs mit Windows XP als tragbar erachtet. Von 643 der genannten Computer können eMails versandt oder empfangen werden. Die Räume in denen sich die Computer oder Netzwerkzugangsdosen mit Verbindungsmöglichkeiten zu diesen Computern befinden, sind rund um die Uhr vor dem Zutritt von Personen geschützt, die keinen Zugriff auf die Da- ten auf dem betroffenen Computer haben. MBW: Bei den Windows XP-Installationen handelt es sich um Geräte im pädagogi- schen Bereich der Landesförderzentren. Aufgrund der Ferien ist eine kurzfris- tige Aufschlüsselung der Zahlen nicht möglich. Auf den pädagogischen Rech- nern befinden sich keine personenbezogenen oder schützenswerten Daten, eine Email-Funktionalität steht nicht zur Verfügung. 2. Wie viele Installationen von Microsoft Office 2003 sind, nach dem Stichtag 8. Ap- ril, beim Land und seinen Einrichtungen weiterhin in Betrieb? Bitte aufschlüsseln nach: Name der Einrichtung, Anzahl der Installationen, Anzahl der Nutzer (z.B. bei Terminalserver-Lösungen), Gründen, weshalb noch Office 2003 eingesetzt wird, Ob die Computer direkt mit dem Internet verbunden sind, Ob die Computer indirekt mit dem Internet verbunden sind (z.B. über eine Firewall), Ob die Compu- ter E-Mails senden oder empfangen können, ob ausgeschlossen werden kann, dass die Räume in denen die Computer oder Netzwerkzugangsdosen mit Verbin- dungsmöglichkeiten zu diesen Computern rund um die Uhr vor dem Zutritt von Personen geschützt sind, die keinen Zugriff auf die Daten auf dem Betroffenen Computer haben. Antwort: Installationen innerhalb des Landesstandards Siehe KA 18/1536, Frage 2. Installationen außerhalb des Landesstandards Steuerverwaltung: Beim Amt für Informationstechnik und in den Finanzämtern sind noch 19 In- stallationen von Office 2003 im Einsatz, die von ca. 680 Mitarbeiterinnen und Mitarbeitern genutzt werden (Terminalserver-Lösung). Der Einsatz ist bedingt durch eine Fachanwendung, die in der aktuellen Version mit neueren Office- Releases nicht kompatibel ist. Im Übrigen wird auf die Antworten zu Frage 1 verwiesen. 4

Schleswig-Holsteinischer Landtag - 18. Wahlperiode     Drucksache 18/1812 Landespolizeiamt: Für eine detaillierte Aufschlüsselung siehe Anlage 2. Nachgeordneter Bereich MELUR: LSH: - Anzahl der Office-2003-Installationen: 16 (8 auf Terminal-Servern) - Anzahl User: 195 - Gründe: Hauptsächlich Vermeidung des hohen Schulungsbedarfs wegen des geänderten Bedienkonzepts ab Office 2007 - Internet-Anbindung: Indirekt über Proxy-Server - Empfang von E-Mails: Zugriff auf den IMAP-Server des LSH ist über Web- Client möglich. - Zugang zu den Räumen: Es gelten die Regelungen gem. IT-Sicherheits- Dokumentation. Zugang zum Serverraum (Terminalserver) haben nur die Ad- ministratoren und Inhaber eines Generalschlüssels. MWAVT: 5 Office 2003 Installationen, 5 Nutzer, 0 direkt oder indirekt mit dem Internet verbunden, kein Emailversand, alle Büro’s sind mit einer elektronischen Zu- trittslösung ausgestattet, so das ein wirksamer Schutz gegen missbräuchliche Netzwerkdosen-Nutzung besteht. LBV: Fehlanzeige Gründe: Die Fachanwendung läuft nicht unter +1. Nachgeordneter Bereich MJKE / Staatsanwaltschaften: Siehe Antwort zur Frage 1 MBW: Siehe Antwort auf Frage 1. 3. Wenn noch Installationen von Windows XP beziehungsweise Office 2003 in Be- trieb sind: a) Wenn Installationen mit dem Internet direkt oder indirekt verbunden sind, kann die Landesregierung garantieren werden, dass diese Installationen in jedem Fall vor externen Angriffen geschützt sind? Antwort: Der Endgerätebetrieb liegt aktuell in der Behördenverantwortung. Ge- nerell werden dort aufgetretene Sicherheitslücken durch organisatori- sche und technische Vorkehrungen geschlossen. 5

Drucksache 18/1812         Schleswig-Holsteinischer Landtag - 18. Wahlperiode Installationen außerhalb des Landesstandards Steuerverwaltung: Für die 200 Internet-PC kann ein externer Angriff nicht gänzlich ausge- schlossen werden. Da diese Rechner nur mit dem Internet, aber weder untereinander noch mit den übrigen Rechnern der Steuerverwaltung verbunden sind, wären die Auswirkungen lokal begrenzt. Ein Einfallstor für das verwaltungsinterne Netz stellen diese Installationen nicht dar. Landespolizeiamt: Nein, aber unkritisch. Die Installationen befinden sich auf Einzelplatz- rechnern innerhalb einer virtuellen Umgebung; gemäß Betriebskonzept wird eine kompromittierte virtuelle Maschine unmittelbar durch eine neue ersetzt. Nachgeordneter Bereich MELUR: vgl. Antwort zu Frage 1.: für WindowsXP-Rechner ist der Zugriff auf das Internet komplett gesperrt. MWAVT: MWAVT: der XP-Betrieb wird als geschützt bewertet. LBV: der XP-Betrieb wird als geschützt bewertet MJKE: Nachgeordneter Bereich MJKE / Staatsanwaltschaften: Es sind keine Installationen direkt mit dem Internet verbunden. MBW: Nein. b) plant die Landesregierung für diese Installationen Service-Verträge mit dem Hersteller (Microsoft) abzuschließen, um weiterhin Sicherheitsupdates zu er- halten? Wenn ja, wie hoch werden die erwartenden Kosten für diese Service- Verträge sein? Antwort: Das ZIT hat bisher keine Planung dahingehend vorgesehen; es liegen keine Anfragen der Ressorts vor. c) plant die Landesregierung diese Installationen durch aktuelle Versionen zu er- setzen? Wenn ja, wie hoch werden die erwartenden Kosten für die Migration sein? Antwort: Installationen innerhalb des Landesstandards Siehe KA 18/1536, Frage 2. 6

Schleswig-Holsteinischer Landtag - 18. Wahlperiode       Drucksache 18/1812 Installationen außerhalb des Landesstandards Steuerverwaltung: Die Ablösung wird im Rahmen des mehrjährigen Projekts „Steuer-PC“ erfolgen. Dabei wird Windows XP durch Windows 7 ersetzt werden. Dies ist jedoch nicht Hauptziel des Projekts, bei dem es primär um die Einführung des länderübergreifenden Standards „SteuerClient“ in Schleswig-Holstein und den Bezug von IT-Grunddiensten aus dem Landessystemkonzept geht. Durch Einbeziehung in dieses Projekt wird die Umstellung auf Windows 7 keinen zusätzlichen Aufwand erzeugen. Landespolizeiamt: Ja, noch im Laufe des laufenden Migrationszeitraumes, es entstehen keine zusätzlichen Kosten. Nachgeordneter Bereich MELUR: Aktualisierung der Office-Installationen auf den Terminalservern ist mit der geplanten Umstellung auf den +1-Standard verbunden. Die Höhe der Kosten ist noch nicht bekannt. MWAVT: alle XP-Installationen sollen durch aktuelle Installationen ersetzt wer- den. Hinsichtlich Kosten und Arbeitsaufwand stehen die Dataportange- bote noch aus. LBV: alle XP-Installationen sollen durch aktuelle Installationen ersetzt werden. Nachgeordneter Bereich MJKE / Staatsanwaltschaften: Im Bereich der Justiz werden die noch verbleibenden Windows XP- Installationen bis November 2014 weiter betrieben werden. Die Ablö- sung erfolgt kostenneutral im Rahmen der regelmäßigen Ersatzausstat- tungen, die im November 2014 abgeschlossen sind. Im Bereich der Staatsanwaltschaften werden die unter 1 genannten vorhandenen Installationen aus fachlichen Gründen zunächst weiterbe- trieben werden müssen, um die in Ablösung befindliche MESTA 2.x – Schnittstellen auslesen, die Schnittstellendateien erstellen und an die zentrale Kommunikationskopfstelle übergeben zu können. Mit der für 2014 geplanten Einführung von MESTA 3.0 wird die kostenneutrale Ab- lösung dieser Übergangslösung erfolgen. MBW: Ja. Der Austausch der Geräte erfolgt im Rahmen der normalen Ersatz- beschaffung. Die Bereitstellung zusätzlicher Mittel für eine Migration ist nicht erforderlich. 7

Drucksache 18/1812                                                                        Schleswig-Holsteinischer Landtag - 18. Wahlperiode Anlage 1: Behörde /         Zahl der        Anzahl Gründe                                      Sind die        Sind die Compu-    Können die     Zutritts- Zweck             Installationen  der                                                Computer        ter indirekt mit   Computer E-    schutz? Windows XP      User                                               direkt          dem Internet       Mails mit dem         verbunden (z.B.    senden oder Internet ver-   über eine Fire-    empfangen? bunden?         wall)? Landespolizei     210             280    Erforderliche Fachanwendungs- Software      nein            Nein               ja             ja LSK                                      nicht +1 fähig, Ersatz noch nicht verfügbar Landespolizei     166             250    Einzelplatzrechner / XP auf virtueller Ma-  ja              ja                 nein           ja Verwendung:                              schine, Migration auf neue VM mit W7 nicht Internet/DSL                             zeitkritisch Landespolizei     166             280    Einzelplatzrechner / XP auf virtueller Ma-  ja              ja                 nein           ja Verwendung:                              schine, Migration auf neue VM mit W7 nicht Internetrecherche                        zeitkritisch bei der Kripo Anlage 2: Behörde / Zweck   Zahl der       Anzahl   Gründe                                     Sind die       Sind die Compu-    Können die     Zutritts- Installatio-   der                                                 Computer       ter indirekt mit   Computer E-    schutz? nen            User                                                direkt         dem Internet       Mails Office 2003                                                        mit dem        verbunden (z.B.    senden oder Internet       über eine Fire-    empfangen? verbunden?     wall)? Landespolizei     210            280      Erforderliche Fachanwendungs- Software     nein           Nein               ja             ja LSK                                       auf dem LSK Arbeitsplatz noch nicht +1 fähig, Ersatz noch nicht verfügbar 8