Berlin und die Bremsspuren beim Windows 10-Upgrade

Nachdem heute der Support von Windows 7 SP1 endet, möchte ich einen Blick nach Berlin werfen. Dort müht sich die öffentliche Verwaltung, ihre IT-Systeme von Windows 7 SP1 auf Windows 10 umzustellen. Es gibt aber deutliche Bremsspuren, was man so liest.


Anzeige

Die Idee für den Blog-Beitrag gibt es beim mir bereits ab Frühjahr 2019 im Hinterkopf. Aber heute ist mit dem Supportende ein geeigneter Tag, um einen Schlussstrich unter das Thema Windows 7 und Berlin zu ziehen.

Chronologie aus 2019

Heise hatte im April 2019 bereits einen Artikel zum Thema Windows 7 zu Windows 10-Migration in Berliner Behörden veröffentlicht. Seinerzeit hatte die FDP bei einer Anfrage herausbekommen, dass zu diesem Zeitpunkt nur 2,6 Prozent (2022 Rechner) der Behörden-PCs bereits auf Windows 10 umgestellt waren. Heise drückte im Artikel die Befürchtung der FDP aus, dass es "Chaos" in Berliner Behörden wegen der nötigen Umstellung auf das Betriebssystem Windows 10 geben werde. Denn es sollen knapp 78.000 Rechner bis zur Frist am 30. November 2019 migriert werden.

Heise hat das Thema weiter im Blick behalten und konnte im September 2019 vermelden, dass immerhin 21,5 Prozent der Behördenrechner schon auf Windows 10 liefen. Ich habe es mal positiv ausgedrückt, denn die Kritiker witterten natürlich ein baldiges Chaos. Und Ende 2019 gab es dann die Meldungen zum Chaos. Da war es das Berliner Kammergericht, welches von Ransomware lahm gelegt wurde (da laufen Fachverfahren mit uralter Software). Im Dezember 2019 gab es bei der Polizei einen Datenverlust, welch auf Windows 10 umgestellt wurde (siehe Upgrade auf Windows 10: Daten der Polizei weg). Und diverse Zeitungsredaktionen haben im Dezember einen Zwischenbericht zum Stand der Migration vorgelegt.

Zum Nikolaustag (6. Dezember 2019) berichtete Der Tagesspiegel, dass erst rund Zweidrittel der rund 80.000 Berliner Behördenrechner von Windows 7 auf Windows 10 umgestellt worden seien. Der selbst gesetzte Termin 30. November 2019 für eine vollständige Migration, dass musste auch die IT-Staatssekretärin Sabine Smentek (SPD) erkennen, war da 'selbst mit größter Anstrengung' nicht mehr zu schaffen.


Anzeige

Bei heise hat man dann am 12. Dezember 2019 einen Bericht der Zeit aufgegriffen und berichtete, dass nun 82.000 IT-Arbeitsplätze in der Berliner Verwaltung mit dem 'richtigen Windows' befüttert werden müssten. Der größere Teil (62 Prozent) arbeitete schon mit Windows 10 (dazu gleich mehr), ein Drittel lief noch mit Windows 7, und der Rest verwendet Windows 8.1. Zitat: "Die Berliner Verwaltung arbeitet mit Hochdruck daran, bis zum 14. Januar die IT-Arbeitsplätze auf Windows 10 umzustellen." Seinerzeit verhandelte das Land mit Microsoft über einen Supportvertrag, der den Schutz für Windows 7 durch Sicherheitsupdates über den 14. Januar 2020 hinaus garantieren solle.

Ausgebremst: Die Windows 10-Panne

Der Tagesspiegel hatte in seinem Artikel aber einen anderen Aufhänger und titelte: 30.000 Behörden-PCs mit falschem Upgrade versehen. Ich bin über Golem auf das Thema aufmerksam geworden. Der Tagesspiegel berichtete, dass die IT-Staatssekretärin Sabine Smentek (SPD) 'am Donnerstag' (im Dezember 2019) den nächsten Fehler eingeräumt habe. Der Tagesspiegel gibt an, dass laut Smentek zufolge "auf rund 30.000 Rechnern mehrerer Verwaltungen fehlerhafte, weil nicht mehr den aktuellsten Datenschutzstandards entsprechende Windows-Upgrades installiert worden sei".

Mit anderen Worten: fast jeder zweite der 60.000 umgestellten Windows 10-Rechner muss neu mit 'dem richtigen Windows 10' bespielt werden. Es hieß im Tagesspiegel, dass 'bei 30.000 Systemen], aus Datenschutz-Perspektive veraltete, Upgrades' eingespielt worden seien. Das Fazit des Tagesspiegel: Dass die Umstellung auf Windows 10 für diese Rechner von vorne beginnen müsse. Zitat aus dem Tagesspiegel-Artikel:

Zu konkreten Gefahren durch die Verwendung der vom Bundesamt für Informationssicherheit (BSI) als nicht mehr vertrauenswürdig eingestuften Upgrades äußerte sich die Staatssekretärin nicht. Smentek erklärte lediglich, die betroffenen Behörden seien bei einer internen Sitzung in der vergangenen Woche über die fehlerhaften Upgrades aufgeklärt worden.

Ich habe seinerzeit den Artikel rauf und runter gelesen, diese Passagen aber nicht verstanden. Was kann bei Windows 10 schon schief gehen, das updated sich doch alleine und alles ist doch kinderleicht.

Des Rätsels Lösung: Aufs falsche Pferd gesetzt

Haben die Bits und Bytes nicht die richtige Farbe? Ich kam auf keinen grünen Zweig und habe rot gesehen. Aber dann bin ich auf eine Stellungnahme der Senatsverwaltung von Berlin gestoßen.

Stellungnahme zu Berichterstattung:
Windows 10 in der Berliner Verwaltung

Die Senatsverwaltung für Inneres und Sport bezieht zu einem heute im Tagesspiegel erschienenen Artikel zur Umstellung auf Windows 10 wie folgt Stellung:

Im Zuge der Umstellung von PCs auf Windows 10 wurden zu keinem Zeitpunkt fehlerhafte oder falsche Updates installiert. Bei den installierten Windows 10-Versionen handelt es sich um zwei verschiedene Varianten. SAC (Funktions- und Sicherheitsupdates, häufiges Aufspielen von patches*) und LTSC (Nur Sicherheitsupdates, weniger häufiges Aufspielen von patches).

Die Innenverwaltung hat allen Behörden im Dezember 2018 den Einsatz der SAC-Variante empfohlen. Einige Behörden haben jedoch die LTSC-Variante gewählt.

Aufgrund der allgemeinen IKT-Sicherheitslage sowie aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird angestrebt – nach der vollständig erfolgten Umstellung auf Windows 10 – im Laufe des Jahres 2020 in einem zweiten Schritt auch das Sicherheitsniveau des neuen Betriebssystems weiter anzuheben. Dies bedeutet, dass alle Behörden mit LTSC-Versionen auf die Variante SAC wechseln.

Wichtig ist es, im ersten Schritt überhaupt auf Windows 10 umzustellen, um die IT-Sicherheit weiter zu gewährleisten. In einem zweiten Schritt wird dann das Sicherheits-Niveau weiter erhöht und auf einen einheitlichen Stand gebracht. Durch den Einsatz von LTSC liegt kein Datensicherheitsproblem und kein Datenschutzproblem vor.

Weiterhin liegen hier zu so genannten Telemetriedaten bislang keine konkreten Hinweise über einen Datenabfluss vor. Um dies auch künftig zu verhindern, wird die IKT-Steuerung Anfang Januar den Behörden konkrete Sicherheits-Einstellungen auf Basis aktuellster BSI-Empfehlungen vorschreiben.

Die Innenverwaltung unternimmt gemeinsam mit allen beteiligten Behörden große Anstrengungen, die Umstellung auf Windows 10 schnellstmöglich und vollumfänglich abzuschließen. Diese wird und wurde in keiner Weise „vor sich hergeschoben".

Wir weisen den unterstellten Vorwurf zurück, die Umstellung auf Windows 10 laufe fehlerhaft. Das Gegenteil ist der Fall. Oberste Priorität hat für uns die Datensicherheit und der Service für die Bürgerinnen und Bürger. Sie werden von der internen Umstellung in der Verwaltung nichts mitbekommen.

Voraussetzung dafür ist die Frage, ob die so genannten Fachverfahren (die in jeder Berliner Verwaltung für den Service der Bevölkerung verwendet werden) reibungslos unter Windows 10 laufen. Das ist der Fall. 315 von den 317 zentral bei der Innenverwaltung gemeldeten Fachverfahren sind Windows 10-lauffähig. Das sind 99 Prozent. Für das restliche eine Prozent (zwei Fachverfahren) ist eine Übergangslösung gefunden. Eine Beeinträchtigung der Arbeit und damit ein Verlust an Service für die Bürgerinnen und Bürger wird es nicht geben.

*Softwareprogramme, die in einem Programm enthaltene Fehler beheben.

Da ist es also, das Problem. Ich interpretiere das so, dass in Berlin 30.000 Rechner von Windows 7 auf Windows 10 LTSC umgestellt wurden und in 2020 dann auf Windows 10 SAC wechseln müssen (d.h. spätestens alle 36 Monate ein Funktionsupdate).

Das Geschwurbel der Art 'Weiterhin liegen hier zu so genannten Telemetriedaten bislang keine konkreten Hinweise über einen Datenabfluss vor.' lässt sich abkürzen. Mag zwar sein, dass Berlin keinen Durchblick hat – die Datenschützer haben aber eine klare Aussage getroffen. Ich verweise auf meinen Artikel Windows 10-Datenschutzsplitter: Die Krux mit der Telemetrie … vom 3. Januar 2020. Von der Datenschutzkonferenz (Zusammenkunft der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)) liegt ein Beschluss für eine 'Windows 10 Prüfschema' vor.

Kurzfassung: Die Datenschutzbeauftragten von Bund und Ländern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen. Dort wird festgestellt: "Es ist zunächst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden".

Kann schon nicht festgelegt werden, welche Daten per Telemetrie an Microsoft übertragen werden, kommen für Berlin nun möglicherweise noch ein neuer Brocken hinzu. Einmal könnte es sein, dass 30.000 Lizenzen für die Umstellung von Windows 10 LTSC auf SAC gekauft werden müssen (es sei denn, es gibt Volumenlizenzverträge mit Software-Assurance). Zudem müssen die Verantwortlichen zukünftig sicherstellen, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit, d.h. auch bei jedem (Funktions-)Update eingehalten werden. Die kommen dann aus der Prüfung und dem dokumentieren nicht mehr heraus. Insgesamt komme ich zum Schluss, dass da schon jetzt deutliche Bremsspuren in Bezug auf den Einsatz von Windows 10 zu sehen sind. Mal abwarten, wie das so weiter geht.


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Berlin und die Bremsspuren beim Windows 10-Upgrade

  1. Th. Reichmann sagt:

    Tja, dat is Berlin. So ist diese Stadt eben. Vor zwanzig Jahren kaputt gespart in der öffentlichen Verwaltung durch einen Finanzsenator den man heute in der SPD gerne los werden will, es aber nicht schafft. Durch einen regierenden Bürgermeister der sich in Berlin Mitte sein eigenes Domizil als Kultursenator erschaffen hatte und nicht umsonst als Sonnenkönig bezeichnet wurde.
    Ein desolater Personennahverkehr wo sich die damaligen Einsparungen bis heute negativ nachziehen.
    Ein Flughafen, wenn er evtl. dieses Jahr mal eröffnet wird, schon jetzt zehn Jahre zurück hingt in seiner Kapazität. Von der Vorlaufphase der jahrzehntelangen Planung gar nicht zu reden.
    Wohnungsknappheit mit überteuerten Mieten und damaliger Privatisierung der Wohnungsgesellschaften.
    Jahrzehntelang eine falsche Verkehrsplanung die bis heute nicht angepasst wurde. Hauptsache, der Tourismus floriert in dieser Stadt. Da ist Berlin ganz groß drin.

    Und jetzt das Desaster mit Windows7 hin zu No10. Wer in Berlin lebt, dem wundert in dieser Stadt gar nichts mehr.

  2. Dietmar sagt:

    Daß eine Behörde mit zigtausend Rechnern tatsächlich die SAC-Variante der LTSC-Variante bevorzugt und gerne jede neue Funktion auf den Rechnern haben will hab ich mir nicht gedacht. Ich hoffe jemand dort hat sich schon darüber Gedanken gemacht.

    • Anonymous sagt:

      … und Microsoft erschwert ja (bald) den Einsatz von Office unter den LTSC Varianten, um seine Kunden zum Einsatz der SAC-Varianten zu bringen…

  3. 1ST1 sagt:

    Der Ransomware-Befall des Berliner Kammergerichts lag aber nicht daran, dass sie Windows 7 einsetzen. Denn auch das kann man (solange es noch supported ist und regelmäßig mit Updates versorgt wird) soweit möglich absichern. Genau das wurde aber vom Berliner Kammergericht nicht getan.

  4. 1ST1 sagt:

    "'dem richtigen Windows 10"

    Das ist doch ganz einfach, die haben eine veraltete Build-Nummer, z.B. das inzwischen nicht mehr supportede 1803 ausgerollt.

  5. N. Westram sagt:

    Interessant finde ich die Aussage, dass die LTSC-Variante ein geringes Sicherheitsniveau aufweisen soll. Weiß jemand womit dieses begründet wird?
    Gibt es nicht einen Widerspruch zu der Aussage: "Durch den Einsatz von LTSC liegt kein Datensicherheitsproblem und kein Datenschutzproblem vor."
    Das Sicherheitsniveau von LTSC ist geringer aber es liegt kein Datensicherheitsproblem vor?

    • OwenBurnett sagt:

      Ich weiß es nicht mit Bestimmtheit, aber ich würde mal meinen das liegt daran das MSFT in den letzten post LTSC2019 Builds den Deffender noch ein bisschen aufgebohrt hat und die Leute diese neuen Funktionen haben wollen obwohl imho diese durchaus nichts bringen.

      • Günter Born sagt:

        Da könnte was dran sein – allerdings ist mir nix definitives bekannt (der obige Artikel enthält imho schon viel mehr technische Informationen zu diesem Thema, als was man so bei der gelegentlichen Suche findet).

        Möglicherweise liest einer der Berliner Insider hier mit und hinterlässt ggf. einen Kommentar – geht ja auch anonym, ohne Name und E-Mail-Adresse.

        Neben dem heute gekappten Support für Office 365 in den LTSC gibt es diverse andere technische Probleme. Bekomme es aber nicht aus der Lameng auf die Reihe. Es steckt noch eine Lesermail (seit einiger Zeit) diesbezüglich im Posteingang – und Blog-Leser Karl hat mir auch schon einiges genannt. Wenn ich mal groß bin und Lust und Zeit habe, versuche ich, einen Artikel drüber zu machen.

  6. Stefan sagt:

    Verstehe ich auch nicht. Gerade, weil doch die LTSC so lange supported wird und von unnötigen Updates verschont wird.

    Wieso soll die Version nicht so sicher sein wie SAC?

    • oli sagt:

      Ich nenn das mal "Glaskugelsicherheit": SAC-Versionen können auf neue Bedrohungen besser angepasst werden, da ja der komplette Betriebssystemkern ausgetauscht wird. SAC bedeutet aber auch mehr Administrationsaufwand und eingespielte Verfahren bei den Funktionsupgrades.

      Wir haben bei uns alles auf LTSC2019/Server2019 umgestellt und mittlerweile läuft es einfach (selbst der Hyper-V 2019 Restart-Bug wurde endlich behoben). Mit ist aber natürlich vollkommen klar, dass diese Version nicht ewig eingesetzt werden kann. Nur hab ich mit LTSC halt die Möglichkeit, den Umstiegspunkt selber zu wählen (z.B. auf LTSC2023) und werde nicht durch 1.5- oder 2 Jahres-Fenster gezwungen, evt. unfertige o. fehlerhafte Funktionsupgrades aufzuspielen.

  7. Bolko sagt:

    Warum laufen die Fachverfahren nicht betriebssystemunabhängig im Browser oder als Java-Programm?
    Warum hat man die nicht längst neu geschrieben?
    Zeit hatte man genug und Kosten spielen keine Rolle, da man ja dadurch die Windows-Lizenzen einspart.

    • Günter Born sagt:

      Kluge Fragen, auf die wir im Blog keine Antwort finden. Und die Politik wird diese auch nicht liefern – siehe LiMux.

      • Mickelot sagt:

        @Bolko: weil die Firmen, die die Fachverfahrenssoftware programmiert, in den allermeisten Fällen keine betriebssystemunabhängige Software liefert.
        Weder für Geld noch für gute Worte. Unterstützung von anderer Office-Suite als MS-Office können die wenigsten. Das meiste ist "Windows-only".
        Es liegt weniger an Berlin oder der Kommune als an den Software-Herstellern. So eine einfache Sache wie die Client-Software unattended/silent zu installieren überfordert viele der Anbieter. Diese Liste liesse sich beliebig fortsetzen.

        • Bolko sagt:

          Dann muss man einfach nur in die Ausschreibungsanforderung reinschreiben, dass es betriebssystemunabhängig laufen muss.

          Dann sind alle diese unwilligen und unfähigen Hersteller automatisch aussortiert.

          Zur Not gibt man den Auftrag an eine Universität, wo genug Wissen und Können vorhanden ist, um so eine Software zu schreiben.

          Und mal ehrlich: Solche Fachverfahren sind nicht wirklich kompliziert.
          Das bisschen Datenerfassung, Datenbankabfrage ist ein Witz gegenüber einem CAD-Programm.

          • Mickelot sagt:

            Nur weil es betriebssystemunabhängig läuft ist der Hersteller automatisch fähig? Interessante Theorie…

            Es gibt in der kommunalen Softwarelandschaft leider einige Anbieter um die Du nicht drumherumkommst. Ist so. Da kannst Du Anforderungen stellen wie Du möchtest – es gibt in einigen Bereichen keine Alternativangebote, was die Software angeht. Warum sollte eine Universität ein Stück Software z.B. für eine relativ kleine Aufgabe wie z.B. BAföG programmieren? Vor allem: wer pflegt die Software, wenn die studentischen Hilfskräfte die Uni längst verlassen haben?
            Allein die Aussage, dass die Fachverfahren nicht kompliziert sind, zeigt, dass Du leider nicht wirklich weisst worum es geht. Datenaustausch via OSCI können z.B. nicht viele…

          • Bolko sagt:

            1. Der Umkehrschluss stammt von dir.

            2. Wenn es zu wenig Anbieter gibt, dann besteht da also eine Marktlücke.

            3. Eine Uni macht sowas für Geld.
            Mitarbeiter werden an einer Uni auch niemals fehlen.

            4. Wenn OSCI so ein Problem ist, dann gibt es da eine Marktlücke.

            Es ist die Aufgabe der Regierung für die Ausstattung der Verwaltung zu sorgen.

            Das muss auch nicht jedes Bundesland einzeln machen.
            Man kann ein einziges bundesweit gültiges Programm schreiben und dann bei Bedarf für jedes Bundesland Konfigurationsdateien erstellen.

            Es ist ein Armutszeugnis für Deutschland, wenn es an solchen recht simplen Sachen schon mangelt.
            Nicht nur auf diesem Gebiet stürzt Deutschland geradezu ab im Vergleich zu anderen Staaten.
            Ist das wirklich nur Inkompetenz oder Absicht und Korruption?

          • Knusper sagt:

            "… einfach nur in die Ausschreibungsanforderung reinschreiben, dass es betriebssystemunabhängig laufen muss … Datenerfassung, Datenbankabfrage ist ein Witz …"

            Selten so gelacht.

    • oli sagt:

      Das hab ich mich auch schon länger gefragt. Bei der Variante "Fachverfahren laufen auf nem Server und der Browser dient als Client" ist mir in letzter Zeit aber auch ein Pferdefuss (im Prinzip klingt das ja erstmal gut) bewusst geworden: Man ist dann wieder von den Browserherstellern abhängig und da kamen in letzter Zeit nun auch nicht unbedingt immer positive Nachrichten (Edge=Chromium, FF mit Werbung/Telemetrie, Chrome+FF ändern mal eben ihre Addon-APIs und machen ne Menge Addons unbrauchbar etc.). Wenn die Fachverfahren dann universell gehalten werden können, sollte es kaum Probleme beim Wechsel geben. Aber wehe es werden irgendwelche Spezialitäten verwendet, dann geht das Gebastel bei einem Wechsel wieder los. Denke aber, das ist das kleinere Übel gegenüber der aktuellen Situation mit Windows/MS Office.

  8. Bernard sagt:

    Warum denn "Chaos" wegen der nötigen Umstellung auf das Betriebssystem Windows 10?

    Windows 7 stellt am 14.01.2020 NICHT seinen Betrieb ein.

    Was soll diese Panikmache von Seiten der F.D.P.?

    Und:

    'Weiterhin liegen hier zu so genannten Telemetriedaten bislang keine konkreten Hinweise über einen Datenabfluss vor.'

    Das MÜSSEN die schreiben, sonst dürften die Windows 10 gar nicht benutzen!

    Und das sind die Parteien, die uns ReGIERen?

  9. hery sagt:

    Moin,

    ich wiederhole mich……………….
    Banana republic……..

    hery

  10. Bolko sagt:

    Im Heise c't-Forum hat jemand eine Liste mit Befehlen gemacht, wie man in Windows 10 die Telemetrie (abschalten kann) eindämmen kann.
    Ist aber trotzdem im Grunde wirkungslos, da es automatische Funktionsupdates gibt, die alles wieder neu einstellen können oder ganz neue Wege einbauen können.

    https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/FAQ-Windows-10-fuer-Umsteiger/Windows-10-1909-Pro-Datenschutz-mit-Boardmitteln-Best-Practices/posting-35889539/show/

    • der ITler sagt:

      Dann lässt man ein Skript laufen, dass die Datenschutzeinstellungen wieder so einstellt, wie es vor dem Funktionsupdate war.
      Alternativ geht man hin, verzögert das Funktionsupdate auf 365 Tage und testet dieses zuerst in einer Testumgebung. Gerade, weil es immer noch Fehler bei den neuen Windows-10-Versionen gibt (auf die Liste der Fehler beim Erscheinen der 20H1 Version bin ich gespannt ;-)), ist dieses Vorgehen sinnvoll.

  11. Martin Feuerstein sagt:

    "Die Datenschützer haben aber eine klare Aussage getroffen. Ich verweise auf meinen Artikel Windows 10-Datenschutzsplitter: Die Krux mit der Telemetrie … vom 3. Januar 2020."
    Ja eben nicht – "schätzt ihr mal ein, ob das klargeht mit Windows 10 und ob ihr das richtig vorbereitet habt".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.