/Bund will Windows 10 über Bundesclient sicher nutzen können

Bund will Windows 10 über Bundesclient sicher nutzen können

Bund will Windows 10 über Bundesclient sicher nutzen können


Christiane Schulzki-Haddouti

Um den Einsatz von Windows 10 rechtskonform und sicher zu gestalten, lässt der Bund für seine Verwaltung den sogenannten Bundesclient entwickeln. Über dessen Sicherheitseigenschaften schweigt sich das Bundesinnenministerium allerdings aus.

Mit dem Einsatz von Microsofts Betriebssystem Windows 10 in der Verwaltung stellen sich angesichts der hochgradigen Vernetzung des Systems zahlreiche Datenschutz- und -Sicherheitsfragen. Derzeit ist es beispielsweise nicht möglich, über Gruppenrichtlinien die Datenströme zwischen dem eigenen Rechner und den Microsoft-Servern vollständig zu kontrollieren, wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) feststellte.

Um doch einen sicheren Einsatz des von Microsoft periodisch aktualisierten Windows 10 in der öffentlichen Verwaltung zu ermöglichen, wird deshalb derzeit vom Informationstechnikzentrum Bund und dem IT-Dienstleister der Bundeswehr BWI ein spezieller „Bundesclient“ entwickelt. Dies entschied Mitte November der zuständige Lenkungsausschuss.

Standard-Arbeitsplatz mit Downgrade-Rechten

Der „Bundesclient“ ist ein Standard-IT-Arbeitsplatz, wie ihn das Bundeskabinett bereits im Mai 2015 im Rahmen eines Grobkonzepts zur IT-Konsolidierung Bund für die Bundesverwaltung beschlossen hat. Er wird ausschließlich für die Beschäftigten der Bundesverwaltung konzipiert und soll ab 2019 ersten Behörden zur Verfügung stehen. Dabei soll er für verschiedene Endgeräteklassen, so auch für die mobile Nutzung, entwickelt werden.

Das Bundesinnenministerium hat sich vertraglich bei Microsoft sogenannte Downgrade-Rechte zusichern lassen. Damit hat der Bund das uneingeschränkte Recht, ältere Versionen einzusetzen, auch wenn Microsoft ein unter dem Betriebssystem verfügbares Produkt durch eine neue Version ersetzt hat.

Security by Obscurity

Entwickelt wird der Bundesclient von den IT-Dienstleistern des Bundes unter Einbeziehung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der Bundesdatenschutzbeauftragten. Hierfür sollen mehrere Aufträge an verschiedene Unternehmen vergeben werden. Über den Umfang der geplanten Aufwendungen schweigt sich das Bundesinnenministerium aus. Gegenüber heise online teilte ein Sprecher mit: „Sie können nicht veröffentlicht werden, damit anstehende Ausschreibungen nicht beeinflusst werden.“

Zur Absicherung des Bundesclients wurde eine Sicherheitsinfrastruktur entworfen, über deren Einzelheiten das Bundesinnenministerium ebenfalls Stillschweigen bewahren will, „da die Kenntnis der konkreten Maßnahmen es unbefugten Personen erleichtern würde, zielgerichtet Sicherheitsmechanismen des Bundesclients anzugreifen.“ Es verspricht jedoch, dass eine Verarbeitung von Daten bis einschließlich „VS-Nur für den Dienstgebrauch“ ermöglicht werden soll. Die Entwicklung des Bundesclients und die Abnahme erfolgt im Einvernehmen mit dem BSI und nach Durchführung der erforderlichen Tests. Die Bundesdatenschutzbeauftragte ist im Moment nicht in den Abnahmeprozess involviert und hat kein Veto-Recht.

Abgeklemmte Online-Funktione

Das Thema Standardarbeitsplätze ist in der Verwaltung nicht neu. Der IT-Dienstleister Dataport, der die Verwaltung mehrerer Bundesländer mit IT versorgt, hat diese bereits seit 2005 im Portfolio und versorgt zurzeit rund 100.000 Arbeitsplätze. Auch andere IT-Dienstleister auf Landesebene haben Erfahrungen mit Standardarbeitsplätzen. Gegenüber heise online sagte Dataport-Geschäftsführer Johann Bizer, dass eine Standardisierung „grundsätzlich zu begrüßen“ sei. Er fügte aber hinzu: „Ich habe einen Erfahrungsaustausch mit dem Bund bereits mehrfach angeboten.“ Dieser sei sinnvoll, weil der Bund von den Erfahrungen, die die Landes-Dienstleister mit der Konzeption und dem Betrieb von Standardarbeitsplätzen gemacht haben, profitieren könnte.

Bei Dataport werden derzeit Windows-Arbeitsplätze sukzessive auf Windows 10 migriert. Sie müssen allerdings ohne die Online-Services auskommen, da sie analog zu dem Deployment-Modell von Dataport „vollständig abgeklemmt“ sind, wie Dataport versichert.

Die Entscheidung zwischen komfortablem Online-Zugang und datenschutzkonformen Betrieb müssen auch Privatbetriebe fällen, wie das IT-Magazin iX schon im Juni dieses Jahres feststellte. Eine “restriktive Konfiguration ziehe erhebliche Nachteile im Alltagsbetrieb nach sich” war die Quintessenz eines Artikels zur Windows-10-Administration. Generell ist mit der Einführung von Windows 10 das Datenschutzniveau stark gesunken.


(js)