Bundesprojekt Sisyphus: 1,37 Millionen Euro für Sicherheitsanalyse von Windows 10
Das BSI hat tief in die Staatskasse gegriffen, um auch "Restrisiken beim Einsatz von Windows 10" auszuloten. Ein Test von Mac OS X war deutlich günstiger.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich seine genaue Analyse von Windows 10 einiges kosten lassen. Bislang sind für die entsprechende "Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen" (Sisyphus) bei dem Betriebssystem von Microsoft 1,37 Millionen draufgegangen. Dies geht aus einer jetzt veröffentlichten Antwort der Bundesregierung auf eine Anfrage der Bundestagsfraktion "Die Linke" hervor.
Ziel des Projekts ist es demnach, die "Gesamtsicherheit und Restrisiken beim Einsatz von Windows 10" zu bewerten und Rahmenbedingungen für einen sicheren Betrieb der Software zu identifizieren. Erste Ergebnisse dazu hat das BSI im November veröffentlicht. Demnach kann der normale Anwender die Neugier und den Datentransfer der umstrittenen Telemetriekomponente des Betriebssystems nur schwer völlig unterbinden. Weitere Teile der Studie sollen sich etwa auf das Trusted Platform Module (TPM), die Windows PowerShell, die Applikationsinfrastruktur, die Updatefunktion oder das Treibermanagement beziehen.
Auch für Mac OS X und Android untersucht
Um Mac OS X sicherheitstechnisch auf den Zahn zu fühlen, gab das BSI laut der Regierung vergleichsweise bescheidene 455.555 Euro aus. Seit 2014 ließ das BSI für 148.000 Euro zudem eine Studie zur Sicherheitsarchitektur von "Kernel-based Virtual Machines" (KVM) im Serverbereich erstellen und für 136.000 Euro das "Permission-Modell" von Android beleuchten. Dieses regelt, unter welchen Umständen Apps unter dem Google-Mobilsystem auf sensible Nutzerdaten wie Kontaktinformationen oder SMS oder Systemfunktionen zugreifen dürfen. Die Behörde hat Tipps zum sicheren Einrichten von Android und Mac OS X herausgegeben.
Die Behörde prüfe gemäß ihrer gesetzlichen Aufgaben unter anderem Software auf ihre Sicherheitsleistungen hin, erläutert das federführende Bundesinnenministerium dazu kurz. Dafür zuständig seien mehrere Stellen innerhalb des BSI und gegebenenfalls "geeignete Auftragnehmer", sodass die eingesetzten Mittel insgesamt nicht aufgeschlüsselt werden könnten. Bekannt gewordene Sicherheitslücken würden "in schnellstmöglicher Weise" im Austausch mit den Herstellern geschlossen. Es würden auch "Quellcode-Analysen" durchgeführt, die aber "grundsätzlich der Geheimhaltung unterliegen".
Lückenhafte Software-Übersicht
Die Linke wollte mit der Anfrage eigentlich herausfinden, ob die Kosten für proprietäre Programme in den Bundesbehörden höher sind als für freie Software. Zuvor war bekannt geworden, dass Bundesbehörden allein eine Viertelmilliarde Euro Lizenzgebühren an Microsoft zahlen. Open-Source-Anwendungen sind nach Ansicht der Oppositionsfraktion einfacher auf Sicherheitslücken zu testen und ermöglichen es auch kleineren Firmen, sich an Ausschreibungen der öffentlichen Hand zu beteiligen.
Die Regierung hat aber nur eine lückenhafte Übersicht von Software und Betriebssystemen in Bundesbehörden geliefert und etwa die Bestände im Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung größtenteils für geheim erklärt. Der gewünschte Vergleich lässt sich so nicht ziehen.
Angesichts eines mangelnden Überblicks über die in der Verwaltung eingesetzten Programme hatte das Innenressort im Sommer angekündigt, ein Lizenzmanagement einzuführen. Daran werde aber noch "gearbeitet", heißt es. Damit könne aber nach wie vor keiner sagen, wie teuer die Softwareverträge des Bundes sind, beklagt der Abgeordnete Victor Perli. Der Linke sieht darin einen "schweren Verstoß gegen die Bundeshaushaltsordnung" und befürchtet, dass hier "massenweise Steuergeld verschwendet wird". Seine Kollegin Anke Domscheit-Berg monierte, dass Serverbetriebssysteme verwendet würden, "für die seit über einem Jahrzehnt keinerlei Updates mehr verfügbar sind". (axk)