Betriebssysteme und IT-Sicherheit in Bundesministerien und Bundesbehörden
der Abgeordneten Jan Korte, Dr. Petra Sitte, Frank Tempel, Dr. André Hahn, Ulla Jelpke und der Fraktion DIE LINKE.
Vorbemerkung
Immer öfter werden Cyberattacken auf Unternehmen, Ministerien und Behörden öffentlich, die tatsächliche Zahl solcher Angriffe ist jedoch nicht bekannt. Die Bundesregierung hat hierzu im letzten Jahr ihre Cybersicherheitsstrategie vorgestellt, wenngleich hierin ein wirkliches Konzept nach Ansicht der Fragesteller nicht zu erkennen ist (vgl. hierzu Bundestagsdrucksache 18/10839).
Der jüngste Cyberangriff mit der Ransomware Wanna Cry am 12. Mai 2017, bei dem über 230 000 Computer in 150 Ländern infiziert und jeweils Lösegeldzahlungen verlangt wurden und der von Europol hinsichtlich seines Ausmaßes als noch nie da gewesenes Ereignis beschrieben wurde (vgl. dazu u. a. heise online vom 13. Mai 2017), hat gezeigt, dass ein wichtiger Baustein bei der Sicherung der IT-Systeme den Betriebssystemen und deren regelmäßigen Updates zukommt. Wir nehmen dies zum Anlass um nachzufragen, wie die IT-Systeme in den Bundesministerien und oberen Bundesbehörden aufgestellt sind, und welche Betriebssysteme etc. eingesetzt werden.
Wir fragen die Bundesregierung:
Fragen17
Welche Betriebssysteme werden in den Bundesministerien und oberen Bundesbehörden eingesetzt (bitte jeweils nach genauer Versionsnummer, auch Patchversion, Bundesministerien bzw. Behörden und jeweiliger Anzahl der Clients, auch Mobilgeräte, aufschlüsseln)?
Wie viele mobile Endgeräte, die nicht durch die IT der entsprechenden Behörde betreut werden, die aber von Mitarbeiterinnen und Mitarbeitern zum Zugriff auf E-Mails, andere Anwendungen und Daten genutzt werden, sind (schätzungsweise) im Geschäftsbereich der Bundesregierung im Einsatz (bitte so weit möglich nach Behörden aufschlüsseln)?
Welche Office-Pakete werden in den Bundesministerien und oberen Bundesbehörden eingesetzt (bitte nach genauer Versionsnummer, Bundesministerien bzw. Behörden und jeweiliger Anzahl der Clients, auch Mobilgeräte, aufschlüsseln)?
Wie hoch waren die Lizenzkosten für beschaffte Betriebssysteme und Office-Pakete in den Jahren 2009 bis 2016 (bitte nach Software und Bundesministerien bzw. Behörden aufschlüsseln)?
Wie hoch waren die Kosten für Support- und Wartungsverträge der Betriebssysteme und Office-Pakete in den Jahren 2009 bis 2016 (bitte nach Software und Bundesministerien bzw. Behörden aufschlüsseln)?
In welchen Bundesministerien und Bundesbehörden wird aktuell freie Software eingesetzt (bitte entsprechend aufschlüsseln)?
Plant die Bunderegierung, in Zukunft vermehrt freie Software einzusetzen? Wenn ja, wo, und in welchem Umfang? Wenn nein, warum nicht?
Welche Ausgaben für Software (gesamt) sind von 2009 bis 2016 in den Bundesministerien und den oberen Bundesbehörden angefallen?
Welche Kosteneinsparungen ergaben sich bei Bundesministerien und Bundesbehörden durch den Einsatz von Open-Source-Software (bitte entsprechend auflisten)?
Welche Einschränkungen der Arbeitsabläufe würden durch den Einsatz von Open-Source-Software nicht mehr auftreten?
Welche Auswirkungen auf die IT-Sicherheit hat nach Auffassung der Bundesregierung der Einsatz von Open-Source-Betriebssystemen?
Wie hoch schätzt die Bundesregierung die Kosten für Schulungen der Mitarbeiter und Mitarbeiterinnen, um sie zum Einsatz von Open-Source-Software zu befähigen?
Welche Schutzsoftware (Antivirus Programme, Firewalls etc.) von Drittanbietern wird in den Bundesministerien und den oberen Bundesbehörden eingesetzt (bitte nach Anbieter und Bundesministerien bzw. Behörden aufschlüsseln)?
Wie hoch waren die Lizenzkosten für die Schutzsoftware in den Jahren 2009 bis 2016?
Hat die Bundesregierung bzw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder andere Bundesbehörden in den letzten Jahren selbst sog. Zero-Day-Exploits erkannt, und wenn ja, wie wurde jeweils damit umgegangen, und in wie vielen Fällen waren die Bundesregierung, die Bundesministerien und die untergeordneten Behörden selbst davon betroffen (bitte entsprechend aufschlüsseln)?
Wie oft und zu welchem konkreten Zweck haben die Bundesregierung, die Nachrichtendienste oder das BSI in den Jahren 2009 bis 2016 sog. Zero-Day-Exploits extern eingekauft, um beispielsweise die eigenen Systeme zu schützen, und welche Kosten sind dabei jeweils entstanden?
Wie viele registrierte Cyberattacken auf die Bundesministerien und oberen Bundesbehörden gab es in den Jahren 2009 bis 2016 (bitte nach Jahr, Art der Angriffe sowie, falls feststellbar, nach staatlichen und privaten Akteuren aufschlüsseln)?