Windows in deutschen Behörden - ein sträflicher Leichtsinn?

[Joe Dalton]

versteh mich nicht falsch, ich finde NICHTS davon willkommen. Nicht Apple Handies, nicht Huaweis, Schmuaweis, nichts davon.

Es würde mich nicht wundern, wenn mehr "Geheimnisse" über private Geräte (allg. Handies, Fitness-/Smartwatches etc.) preisgegeben wurden als über dienstliche Geräte.

Bei Linus und Open Source weiß man es dann, wenn man den Quellcode gesehen und verstanden hat. Ja, ist mühsam, aber
dann weiß man es zu 100% denn jeder Befehl zum Versenden von egal was an egal wen würde als solcher sichtbar sein.

Die Prüfung komplexer Software (inkl. notwendiger Patches & Updates im Betrieb) dürfte in vollem Umfang extrem aufwändig und kaum machbar sein. Daher ist es eher eine Illusion von Sicherheit.

Außerdem lässt Du eine Sache außer Betracht: Die Geräte können ruhig Daten sammeln und verschicken wollen. Letzteres setzt aber immer auch einen Weg nach draußen voraus, der nicht immer gegeben ist. Sofern die Netze nicht vollständig offline betrieben werden (Air Gap), stehen da i.d.R. ein paar Proxies und Firewalls: Nicht alles und jeder darf immer einfach frei ins Internet.

Was Linux und andere Betriebssysteme und Applikationen angeht: Nach 20+ Jahren sollte es möglich sein ein gängiges Betriebssystem etabliert zu haben, das von der Masse der Anwender akzeptiert wird. Abgesehen von Windows und MacOS gibt es aber nichts. Da müssen sich die Linux-/Unixfraktionen an die eigene Nase fassen, warum sie primär im Serversegment gefragt sind und den Sprung auf den Desktop nicht schaff(t)en. Fehlender Treibersupport mag ein Argument sein, aber sicherlich nicht das einzige.

Dass Linux 3% Marktanteil im Privat-Desktop-Bereich hat sagt nichts über seine Geeignetheit oder Ungeeignetheit über den Einsatz in staatlichen Organen aus.

Doch, eigentlich spricht es sogar Bände: Eine nennenswerte Gefahr geht von den Usern aus. Diese müssen die Systeme einfach bedienen können oder sie suchen sich "geeignete" Alternativen. Die Mehrheit der Staatsdiener o.ä. sind keine Nerds mit tiefergehenden IT-Kenntnissen.

Das Betriebssystem der Clients ist lediglich ein Detail in Betriebskonzept solcher IT-Umgebungen. je nach Abstimmung und Architektur kannst Du problemlos Windows einsetzen und es ist gut.

 

[McMoneysack91]

Also ich hatte keine persönlichen Daten auf meinem Windows Dienstrechner

Ich kann dir versichern, dass deine persönlichen Daten beim Einwohnermeldeamt liegen. Alter, Vor und Nachname, Geburtsort, aktuelle Meldeanschrift, sämtliche vorherigen Meldeanschriften, deine Ehepartner, deine Kinder, das Lichtbild deines Persos und, falls du den abgegeben hast, dein Fingerabdruck.

Jetzt könnte ich dasselbe mit ZEVIS aufzählen, welches Auto du fährst, welche Autos du jemals gefahren bist.

Dann weiter zu INPOL, wenn du jemals erkennungsdienstlich behandelt wurdest, vermisst warst, sodass nach dir gefahndet wurde..

Es gibt einen dreistelligen Bereich an Schnittstellen, die mir auf Anhieb einfallen, wo du auftauchst. Nicht wenige haben eine Schnittstelle mit MS Excell.

 

[NameHere]

Deine Thesen könnten auch von einem Querdenker sein, bisschen Paranoia schwingt da schon mit oder.

Hört auf das Wort "Querdenker" dafür zu gebrauchen um Menschen zu diskreditieren! Die größten Errungenschaften der Menschheit sind Querdenkern zu verdanken.

Jeder Mensch wird einer besonderen Eigenschaft geboren und zwar alles innerhalb Millisekunden auf Plausibilität zu prüfen. Wir sind von Geburt an skeptisch und es ist gut Dinge zu hinterfragen.
Wen wir das nicht mehr tun, was wären wir dann?

 

[McMoneysack91]

Letzteres setzt aber immer auch einen Weg nach draußen voraus, der nicht immer gegeben ist.

Das ist in der Tat ein beruhigendes Argument. Sprich, dass man am Herausgeber vorbei einfach eine Offline- oder Intranet-Wand um alles herum zieht. Von der Seite habe ich das noch nicht betrachtet.

 

[MadMax_87]

Ich schließe mich da ganz @Millkaa an.
Egal ob im öffentlichen Bereich oder im "privatwirtschaftlichen", da gibt es leider "zuviele": Nene ich hab das schon immer so gemacht/benutzt etc. Wie soll man da was umstellen und dann noch "einheitlich"?
Ich kenne Behörden, da haben "Teams" von ca 10 Leuten auf demselben Flur ihre "Standard"-Anwendung umprogrammieren lassen, weil das Feld xy ja viel besser unten an der Seite passt als oben! Und andere empfanden es links oder rechts "besser"...
Dann kann man sich mal das Thema "Zertifizierung" anschauen...Mir selbst ist Software bekannt die z.B. ein bestimmtes OS benötigt,weil erst dadurch eine Zertifizierung sichergestellt ist...
Alleine die Umstellung aller Anwendungen auf ein anderes OS kostet ne Menge Geld und noch mehr Zeit.
Und auch da wird Support nun mal großgeschrieben..
Ein,denke ich, gutes Beispiel: Redhat und CentOS
"Auf einmal" war es aus mit dem Support, CentOS wurde ein Upstream-Distro mit "Entwicklungscharakter" und ich kenne viele, die CentOS im Einsatz hatten. Und die "mussten" dann umsteigen, weil man vorher z.B. IBM Software eingesetzt hat auf einem "Redhat"-CentOS Klon.
Was will ich damit sagen: "Alle" nehmen ein Linux-OS als Beispiel, wer sagt dir den mit einigermaßen hoher Wahrscheinlichkeit, das es dieses OS noch auf Jahre geben wird?!
Bundesrepublik-Deutschland-Linux"? Die Gehaltszahlungen kann der öffentliche Haushalt gar nicht finanzieren....

 

[McMoneysack91]

@MadMax_87 das möchte ich gar nicht in Abrede stellen. Ich weiß ja, wie steil die Anwender gehen wenn bloß Outlook von 2013 auf 2019 geupdatet wird und der ewig geliebte Button 2cm weiter links ist.

Ich möchte mich ja auch, wie bereits erwähnt, keineswegs auf Linux oder eine bestimmte Distro fokussieren. War halt nur bequem, weil wir hier in Deutschland mit SuSE einen nicht kleinen Ableger haben. Ging mir eher um das technische Prinzip, wie es jetzt momentan ist, und ob es nicht sinniger und sicherer wäre, wenn es anders wäre.

 

[MadMax_87]

Eine einheitliche IT-Landschaft "hilft" eig immer, auf das "Gesamtkonzept" gesehen.
Aber das wird in den Behörden nicht passieren, aus vielen der hier genannten Gründen..
Rahmenvertrag fällt mir auch noch ein, d.h der IT Anbieter, BWI, BMI und wie sie alle heißen haben irgendwelche Rahmenverträge mit x Jahren Laufzeit (und das x ist leider meistens näher an einer zweistelligen Zahl als an "1").
Man kann das Ganze auch mit IPv4 und IPv6 vergleichen: Eine Umstellung wäre sinnvoll ist aber einfach nicht machbar, weil man diese ganze Masse niemals "gleichzeitig" umgestellt bekommt...

Ergänzung (2. November 2023)

Und noch ein Nachbrenner aus meiner "Ausbildungszeit" : Gentoo Linux auf den Hotline/Logistik-Rechnern, Windows beim Personaler/Fibu
Alleine wenn da nen "Office"-Dokument von "allen" bearbeitet werden sollte, war das schon ein Krampf; Aber hat halt auch Lizenzkosten gespart und ich hatte nen spannenden Ausbildungsplatz mit zwei "OS-Welten".

Heute würde mir auch ne Linux-Distro reichen, aber der AG hat halt nen Vertrag für Windows...

 

[McMoneysack91]

Wobei mir der erwähnte Ansatz gefiel, das System ganz es selbst sein zu lassen, mit all seinen möglichen versteckten Schnickschnacks, nur es eben nicht "raus" zu lassen ins Internet. So kann es gerne sammeln und versuchen zu senden was es will, es käme nicht raus.

Nur halb beruhigend, dass die meisten Dienstrechner normalen Internetzugang haben, aber dennoch ein immerhin theoretischer Ansatz, der bestimmt an Stellen mit höchst sensiblen Inhalten auch so strikt praktiziert wird. Hoffentlich.

 

[BFF]

Ich kann dir versichern, dass deine persönlichen Daten beim Einwohnermeldeamt liegen. Alter, Vor und Nachname, Geburtsort, aktuelle Meldeanschrift, sämtliche vorherigen Meldeanschriften, deine Ehepartner, deine Kinder, das Lichtbild deines Persos und, falls du den abgegeben hast, dein Fingerabdruck.

Jetzt könnte ich dasselbe mit ZEVIS aufzählen, welches Auto du fährst, welche Autos du jemals gefahren bist.

Dann weiter zu INPOL, wenn du jemals erkennungsdienstlich behandelt wurdest, vermisst warst, sodass nach dir gefahndet wurde..

Es gibt einen dreistelligen Bereich an Schnittstellen, die mir auf Anhieb einfallen, wo du auftauchst. Nicht wenige haben eine Schnittstelle mit MS Excell.

Und das Wissen wo was an Daten ist und abgeruefen werden kann fuer den jeweiligen Zweck heisst noch lange nicht das diese Daten abfliessen an z.B. Microsoft nur weil als Host-OS ein Windows auf der Kiste rennt. Und selbst dann nicht wenn Listen nach Excel exportiert werden.

Eine nennenswerte Gefahr geht von den Usern aus.

... die diese Systeme nutzen und u.U. zuviel oder ohne Grund abfragen und das nach aussen tragen.

Anyway.
Eigentlich gehoert der Thread rein garnicht nach Windows 10.

 

[McMoneysack91]

die diese Systeme nutzen

Dass der Anwender selbst oft das größte Risiko ist, steht außer Frage. Davor wäre man auch unter Linux oder sonst welchen FOSS Systemen gewiss nicht gewappnet.

 

[BelaC]

Ich arbeite auch in einer Art Behörde und wir nutzen zwar Windows, aber wo der Rest der Welt für Mails bspw. Outlook nutzt, haben wir IBM Notes und für Videokonferenzen nutzen wir, statt Webex, Zoom oder Teams, Jitsi. Und was soll ich sagen? Es ist eine Katastrophe. Ich glaube wir unterschätzen z. T. wie gut weitverbreitete Software mittlerweile ist und wie schwer bzw. unmöglich es ist für Nischenlösungen da ranzukommen.

 

[Millkaa]

Microsoft ist und wird in dem Zusammenhang ersetzbar sein. ich nutze Mal das von mir verhasste: was, wäre, wenn.
wenn damals nicht MS mit Windows in allen Haushalten vertreten wäre, dann hieße das heutige Betriebssystem anders. Ob es Linux, was von Apple oder was ganz anderes wäre hinge davon ab, wer damals den Durchbruch geschafft hat.
Windows Rechner gab es irgendwann in besonderen Büros, irgendwann gab es den Ersten und dann immer mehr. Wenn damals irgend ein anderes OS Vorreiter gewesen wäre, bspw. aus Indien oder China, Island, Grönland oder irgendwoher anders, dann wäre das heute aktuell. Win war nun einmal lange Zeit das Maß aller Dinge für alle.

 

[McMoneysack91]

Win war nun einmal lange Zeit das Maß aller Dinge für alle

Da gebe ich dir Recht. Es sind historisch gewachsene Strukturen. Ich meine sogar, dass BeOS eine Zeit lang fast Kopf an Kopf mit Microsoft um den Einzug in Enterprisebereiche kämpfte.

Ich möchte auch Windows keineswegs seine Errungenschaften und Funktionen in Abrede stellen. In vielen Dingen ist Windows nach wie vor DAS Mittel meiner Wahl.

Bloß habe ich immer herumgegrübelt, ob Behörden nicht eine etwas andere "Version" erhalten oder sie sich eben selbst zurechtmünzen.

Schließlich haben wir ja Home Edition, Professional, Education, Enterprise und eben vielleicht meine imaginäre Government oder Ähnliches, die sich nochmal stark von den vorigen unterscheidet Abwegig ist der Gedanke ja erstmal nicht.

 

[LasseSamenström]

Alles was es will. Wir können nicht den Quellcode einsehen. Jeder Button könnte Events triggern. Und wieso sollte MS nicht absolut ALLES sehen wollen?

Müssen wir auch gar nicht, wir müssen nur das Verhalten des Servers beobachten. MitM hast du schonmal gehört? Mit Kali geht es sogar recht einfach. Sophos Firewalls machen das sogar nach der Ersteinrichtung, was mir bspw. als Administrator gar nicht gefällt.

Gerade der 2. Satz stört mich ganz gewaltig. Soviel Speicherplatz gibt es auf der Welt gar nicht um alles zu loggen. Der Traffic der daraus entsteht würde sofort alle Blicke auf sich ziehen.

 

[McMoneysack91]

Der Traffic der daraus entsteht würde sofort alle Blicke auf sich ziehen

Auch ein recht beruhigender Aspekt, den du da nennst.

Soweit habe ich 2 Kernelemente, die ich mir bislang mitnehme: 1) Soll das System in sich machen was es will, Hauptsache, es dringt mit seinem Tun nicht nach außen und 2) beobachten, WAS nach außen dringt und ggf. eingreifen/eindämmen.

 

[Discovery_1]

Ein Staat verlässt sich bei der Erfüllung hoheitlicher Aufgaben auf ein Produkt aus fernen Landen und heißt es willkommen

Deswegen halte ich es immer noch für einen Skandal, dass wir in Europa kein eigenes OS haben. Aber die Fehler wurden in der Vergangenheit gemacht, heute ist es (wohl) zu spät dafür.

 

[LasseSamenström]

Auch ein recht beruhigender Aspekt, den du da nennst.

Soweit habe ich 2 Kernelemente, die ich mir bislang mitnehme: 1) Soll das System in sich machen was es will, Hauptsache, es dringt mit seinem Tun nicht nach außen und 2) beobachten, WAS nach außen dringt und ggf. eingreifen/eindämmen.

3. Alles was reinkommt kann auch untersucht werden und je nach Gefährdungsgrad weiterverarbeitet werden.

Die drei Punkte hören sich so leicht an, sind aber mit enormen Aufwand verbunden. Aber es ist theoretisch alles im lokalem Netzwerk machbar. Es war bereits vor 20 Jahren machbar, allerdings war die Anzahl der Tools weitaus geringer. Einhergend das die ganzen Apps aber auch simpler gestaltet waren.

 

[McMoneysack91]

Europa kein eigenes OS

Das wäre natürlich auch mein idealistisches Bild. Sei es nicht so performant, nicht so hübsch, nicht so flink und was nicht alles, aber eben was eigenes.

Aber ja, es bleibt wohl Idealismus. Die Tatsache hast du bereits genannt. Es ist aus wirtschaftlicher Sicht vermutlich (zu) spät, da noch groß umzusatteln. Es sei denn es kommt ein SOLCH weltpolitisch derber Einschlag, dass alle plötzlich die Köpfe einziehen und Schluss ist mit Friede Freude Eierkuchen und alle ihre eigenen Süppchen und Insellösungen bauen.

 

[Corto]

Als ich noch in der Ausbildung war hat eine größere Stadtverwaltung mal komplett auf Linux umgestellt.
Das Projekt ist nach zwei Jahren wieder rückabgewickelt worden weil es viel zu viele Fallstricke gab und nix funktioniert hat.

Google mal, das war so 2010 oder so

funfact: in Banken laufen heute noch XP und alte Cobol Kisten, weil selbst die das nicht geschissen bekommen

 

[brettler]

Militär verwendet Microsoft.

Bei der BW muss man unterscheiden zwischen "Grüner" und "weißer IT"

Die "weiße" IT wird eigentlich zu 100% von BWI verwaltet und ist da auf dem neusten Stand, was auch dazu geführt hat das der S6 FW der sich auf Kp Ebene um sowa gekümmert hat quasi ausgestorben ist, da er nix weiter tun konnte als ein Ticket aufzumachen..


"Grüne" IT, also Waffensysteme, Schiffe usw. wird von der Bw verwaltet und da ist vieles im Einsatz. Das nicht offen zu finden ist, wa sollte klar sein.