Zwar kaufen Bund, Länder und Gemeinden Betriebssysteme und Office-Programme mehrheitlich von Microsoft, erhebliche Sicherheitsbedenken sind aber bislang nicht ausgeräumt worden. Das haben Recherchen von c't, dem RBB und dem Journalistenteam Investigate Europe ergeben. Hintergrund ist ein Rahmenvertrag, den das Bundesinnenministerium 2015 zur Beschaffung von Microsoft-Produkten mit dem US-Konzern aushandelte. Davor hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber einen Forderungskatalog an Microsoft formuliert. Inwieweit dieser auch durchgesetzt wurde, ist immer noch unklar.

Verdeckte Karten bei Microsoft

Das BSI monierte in dem Katalog unter anderem, dass Microsoft "mutmaßlich unangenehme Fragen in aller Regel völlig ignoriert" und verlangte eine vertraglich gesicherte Kooperation des US-Softwarekonzerns. Überdies verlangte es technischen Änderungen, um die Daten der Bürger vor fremdem Zugriff zu schützen. Grundsätzlich sollen Windows-Rechner, die in Behörden eingesetzt werden, uneingeschränkt kontrollierbar sein.

Peter Batt, IT-Direktor des Bundes im Bundesinnenministerium, räumte ein, dass die Umsetzung des BSI-Forderungskatalogs im aktuell gültigen Rahmenvertrag nicht gelungen, sondern erst später "nachverhandelt" worden sei. Über nähere Details könne das BSI Auskunft erteilen, doch die Sicherheitsbehörde verweigerte Journalisten von c’t, rbb und Investigate Europe eine Antwort und verwies auf "vertrauliche Vereinbarungen".

Verschlüsselte Kommunikation mit Microsoft

In der Praxis gibt es noch erhebliche Probleme: Der IT-Dienstleister Dataport hat für mehrere Bundesländer bereits rund 100.000 Standardarbeitsplätze unter Windows eingerichtet und testet derzeit Windows 10 im Pre-Rollout. Gegenüber c’t erklärte Martin Meints, der bei Dataport für die Sicherheit der eingesetzten Systeme verantwortlich ist, dass unter Windows 10 trotz vollständig abgeklemmter Online-Services noch immer einige verschlüsselte Datensätze an Microsoft übermittelt werden.

Microsoft hat gegenüber Dataport bis heute nicht erklärt, welche Daten genau übermittelt werden. Das Unternehmen warnte Meints stattdessen, dass wenn die Datenübertragung gekappt würde, die Systemstabilität nicht mehr gegeben sei. Meints erwartet nun von Microsoft eine Erklärung dazu, was das bedeutet: "Ich brauche mindestens Transparenz. Erst dann kann ich entscheiden, ob ich das akzeptieren kann." Auch die Bayerische Datenschutzaufsicht bemüht sich seit Monaten, die nicht zu beseitigenden Datenübertragungen zu klären. Bislang vergeblich.

Mehr Details zum Beschaffungs-Dilemma der deutschen Behörden gibt es in c't 5/2018, die ab Samstag am Kiosk liegt. Online ist der Artikel bereits verfügbar:

Am Montag, 19. Februar 2018 um 22.55 Uhr, wird außerdem die Dokumentation "Das Microsoft-Dilemma – Europa als Software-Kolonie" (RBB/WDR) von Harald Schumann und Árpád Bondy in der ARD ausgestrahlt.