BundesregierungNoch 60.000 Rechner mit Windows 7 in Betrieb

Der offizielle Support von Microsoft für Windows 7 endete vor einem Jahr. Die Bundesregierung erntete Kritik, da sie dennoch zehntausende Rechner mit dem veralteten Betriebssystem in Benutzung hatte. Knapp eine Million Euro an Supportkosten wurden erwartet. Heute sieht die Lage sogar noch schlimmer aus.

Ein Screenshot der Startoberfläche von Windows 7.
Das elf Jahre alte Betriebssystem Windows 7 ist bis heute weit verbreitet. Auch in der Bundesregierung. – Alle Rechte vorbehalten Screenshot von YouTube

Die Bundesregierung und ihre Ministerien und Behörden betreiben aktuell noch mindestens 60.000 Computer mit dem längst überholten Betriebssystem Windows 7. Im vergangenen Jahr wurden deshalb bereits 1,9 Millionen Euro an Update-Gebühren verausgabt, heißt es in einer Antwort der Bundesregierung auf eine schriftliche Frage des grünen Bundestagsabgeordneten Konstantin von Notz.

Microsoft hatte den Support des elf Jahre alten Betriebssystems am 14. Januar 2020 offiziell eingestellt. Bereits damals wurde der fortbestehende Gebrauch von Windows 7 in der Bundesregierung kritisiert [€]. Zu dem Zeitpunkt war in einer ähnlichen Antwort der Bundesregierung allerdings noch von 33.000 Rechnern und erwarteten Gebühren von 800.000 Euro die Rede.

Damit sind sowohl die Anzahl der Rechner als auch die tatsächlich angefallenen Kosten für erweiterte Sicherheitsupdates in der neuen Aufstellung doppelt so hoch wie noch vor einem Jahr veranschlagt. Der Grund seien Informationslücken. Wie uns ein Sprecher des Bundesinnenministeriums (BMI) mitteilte, hatten im Januar 2020 „nicht alle Ressorts für sich und den jeweiligen Geschäftsbereich zurückgemeldet“.

Bundesregierung hat kaum Übersicht

Die Zahl von vor einem Jahr war also nicht vollends belastbar. Bereits damals war von einer erheblichen Dunkelziffer die Rede. Da alle Ministerien und Behörden selbst für die Aktualisierung ihrer IT-Systeme verantwortlich sind, lässt sich eine genaue Zahl laut Bundesregierung nur schwer erheben. Auch in der aktuellen Antwort räumt die Regierung eine mögliche Unvollständigkeit ein.

Die Bundesregierung hat auf Nachfrage von netzpolitik.org die Windows-7-Rechner nach Ministerium aufgeschlüsselt. Die Aufteilung ist dabei sehr ungleich: Viele der Ministerien haben nur einige hundert Windows-7-Computer in Betrieb, das Bundesministerium für Bildung und Forschung als einziges gar keine. Mit jeweils über 10.000 Rechnern stechen das Auswärtige Amt und das Bundesministerium für Inneres hervor. Unangefochten an der fragwürdigen Spitze steht allerdings das Bundesministerium für Verteidigung mit fast 30.000 Windows-7-Geräten. (Die vollständige Aufteilung findet sich im Anhang des Artikels.)

Im Dezember hatte netzpolitik.org gesonderte Rechercheanfragen an alle Ministerien geschickt. Wie aus den entsprechenden Antworten hervorgeht, sind in den Bundesministerien selbst kaum noch nennenswerte Mengen an Rechnern mit der veralteten Software in Gebrauch. Die Vermutung liegt also nahe, dass sich die genannten Windows-7-Rechner auf die knapp tausend Behörden verteilen, die der Bundesregierung unterstehen. Zumindest werden beispielsweise in einer Stellenanzeige des Bundesamts für Verbraucherschutz für eine Fachinformatiker:in noch dezidiert Windows-7-Kenntnisse verlangt.

Windows 7 noch weit verbreitet

Trotz seiner Betagtheit ist Windows 7 noch weit verbreitet und nach Windows 10 die beliebteste Version des Betriebssystems. In Deutschland nutzen laut dem Statistikservice Statcounter noch gut acht Prozent aller Windows-Nutzer:innen Windows 7 – global sind es sogar fast zwanzig Prozent.

Wer aber weiterhin veraltete Software benutzt, macht sich angreifbar. Denn wenn der Hersteller Microsoft regelmäßig keine kostenlosen Sicherheitsupdates mehr anbietet, bleiben die Rechner bei Schwachstellen ungeschützt. Je länger ein Betriebssystem in Gebrauch ist, desto wahrscheinlicher ist es auch, dass Sicherheitslücken entdeckt und verbreitet werden. So basierte beispielsweise die Ransomware WannaCry, die 2017 kritische Infrastrukturen auf der ganzen Welt lahmlegte, auf Exploits, für die vor allem ältere Betriebssysteme anfällig waren.

Wer wie die Bundesregierung dennoch auf alte Software von Microsoft angewiesen ist, muss im Rahmen des „Extended Security Update“-Programms für Sicherheitsupdates bezahlen. Das Problem ist dabei oft, dass altbewährte Softwaresysteme und kritische Infrastrukturen auf den zu dem Zeitpunkt des Ersteinsatzes verbreitetsten Betriebssystemen aufgebaut sind, die sich nur mit sehr viel Aufwand updaten lassen.

Mehr Open Source im E-Government

Die Bundesregierung ist für ihre Infrastruktur stark von der proprietären Software der Firma Microsoft abhängig. Laut einer vom CIO des Bundes in Auftrag gegebenen Studie aus dem Jahr 2019 basieren 96 Prozent aller Büro- und Arbeitsplatzsoftware der Bundesverwaltung auf Microsoft. Das müsste nicht der Fall sein, denn Open-Source-Alternativen gibt es zuhauf.

Eine Möglichkeit, sich langsam aus der Abhängigkeit von Microsoft zu befreien, wäre die geplante IT-Konsolidierung der Bundesregierung. Das 2015 gestartete Großprojekt sollte bis 2025 die IT von Bundesbehörden und Ministerien modernisieren und zentralisieren. Wie sich jetzt herausstellte, wird sich das Projekt um mindestens drei Jahre verzögern [€]. Wir haben den aktuellen Reihenfolgeplan (pdf) samt Anlagen (pdf) der IT-Betriebskonsolidierung des Bundes veröffentlicht.

Auf eine Kleine Anfrage der grünen Fraktion im Februar 2020, welche Rolle Open Source bei der IT-Konsolidierung spielen würde, antwortete die Bundesregierung: „Die Bundesregierung setzt sich zum Ziel, dass zukünftige Softwarealternativen vorzugsweise, aber nicht zwingend, auf Open Source-Produkten basieren, mindestens jedoch auf offenen Standards und Schnittstellen.“

Was das konkret bedeutet, ist bisher nicht klar. Auch wenn ein Sprecher des BMI das Sentiment bestätigte und Open Source als einen wichtigen „Baustein zur Stärkung der Digitalen Souveränität“ bezeichnete. Auf der Seite „Kompetenzzentrum Open Source Software“ des Beauftragten für Informationstechnik in der Bundesregierung steht jedenfalls nur: „Diese Seite wird gerade überarbeitet!“

Aufschlüsselung der PCs mit Windows 7 nach Ressort

Auswärtiges Amt (AA): 10.700
Bundeskriminalamt (BKAmt): 64*
Beauftragter der Bundesregierung für Kultur und Medien (BKM): 1.500
Bundesministerium für Arbeit und Soziales (BMAS): 25
Bundesministerium für Bildung und Forschung (BMBF): –
Bundesministerium für Ernährung und Landwirtschaft (BMEL): 1.723
Bundesministerium der Finanzen (BMF): 200
Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ): 379*
Bundesministerium für Gesundheit (BMG): 1.700
Bundesministerium des Innern, für Bau und Heimat (BMI): 12.935
Bundesministerium der Justiz und für Verbraucherschutz (BMJV): 308
Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (BMU): 934
Bundesministerium der Verteidigung (BMVg): 27.326
Bundesministerium für Verkehr und digitale Infrastruktur (BMVI): 5.000
Bundesministerium für Wirtschaft und Energie (BMWi): 1.118
Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ): 10
Summe: 63.922

* Die Zahlen der Ressorts BMFSFJ und BKAmt stammen aus der IST-Aufnahme IT Bund und wurden mit Stichtag 30.06.2020 erhoben. Die restlichen Zahlen stammen aus einer Ressortabfrage und spiegeln den Stand im Dezember 2020 wider.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Die 1 Million Support Kosten sind ja lächerlich, da hätte ich viel mehr erwartet für outdated Software.
    Was mich mehr stört, ist das in den seltensten Fällen von Mikrosoft als OS Lieferant abgegangen wird.
    Ein Staat mit seinen sämtlichen untergeordneten Strukturen darf nicht angreifbar, manipulierbar oder ab hörbar sein.
    Das MS per se schon wegen dem Patriot Act und und…nicht vertraut werden kann ist weiträumig bekannt.
    Warum kein eigenes BS.
    Kohle dafür dürfte doch genug da sein.
    Gründe auch.
    Fehlt der Willen ?

  2. Während Windows 7 zu Beginn vielleicht nicht ganz so invasiv war, so hat MS dort zuletzt noch nachgelegt und ein Zwangstelemetrieupdate eingespielt (https://www.golem.de/news/microsoft-sicherheitspatch-fuer-windows-7-enthaelt-telemetrietool-1907-142522.html).

    Wer sich vor Viren oder Hackern schützen will, sollte auf Linux setzen.
    Für mich ist das Windows Betriebssystem ein Trojaner. Es zieht Unmengen an Daten ab und sendet diese an Microsoft.
    Vor diesen Angriffen kann man sich nur durch Nichtnutzung schützen.

    Wie hier (https://forum.kuketz-blog.de/viewtopic.php?f=11&t=4237) immer wieder diskutiert wurde, ist es nicht möglich diesen Datenabfluss komplett einzudämmen und eine gewisse Eindämmung ist nur mit hohem Aufwand möglich.

    Da ist für mich die Frage von Sicherheitsupdates weniger relevant.

    Hinzu kommt natürlich die Abhängigkeit von USA.
    Wenn dort jemandem eine Entscheidung in D nicht passt – vergleiche Nordstream 2 – stehen hier alle Behörden still. Da braucht MS nur einen Schalter umzulegen.

    1. Das mit dem “ Compatibility Appraiser “ ist mir tatsächlich entgangen.
      Vielen Dank für den Link!
      Mikrosoft ist eigentlich in allen Dingen unglaubwürdig.

  3. Diese 60.000 Rechner auf Linux-Systeme (Repositories/ Updates von deutschen Unis) umrüsten und wieder einsetzen. Und wenn diese Rechner dann nicht wieder in den Behörden eingesetzt werden: An die Schulen weitergeben.

  4. Windows, besonders Windows 10, ist aufgrund der bewussten Abkehr vom Datenschutzprinzip nicht nur privat, sondern erst recht für staatliche Einrichtungen eine Katastrophe.

    Mein Vorredner hat schon alles Wesentliche gesagt. Ich selbst nutze Windows NUR noch für alte Offline-Games, die es zum Laufen benötigen – also komplett ohne Netzverbindung. Alles andere, vom Job bis zum Privaten, ist seit Jahren auf verschiedene Linux-Systeme umgestellt – unter Maßgabe höchster Datensicherheit.

    Ich kann besonders Nicht-ITlern raten, sich intensiv mit Linux zu beschäftigen! Man lernt wirklich, wie IT funktioniert, es macht Spaß, und das Wichtigste: man kann sein komplettes, im Sinne von Open Source transparentes System mit sehr hoher Datensicherheit konfigurieren. Die Einarbeitung bzw. Umstellung dauert zwar etwas, aber es lohnt sich und man muss keineswegs auf Gewohntes verzichten, da nur zum Teil andere Software verwendet wird.

    Es ist unbegreiflich und zeugt sowohl von Ahnungslosigkeit als auch Borniertheit unserer staatlichen Institutionen, sich einerseits über „Cyberangriffe“ zu beschweren und u. a. aus Frust darüber die eigenen Bürger mit immer neuen Überwachungsgesetzen zu belegen, aber andererseits aus reiner Hörigkeit gegenüber US-Konzernen nichts dazulernen zu wollen, um sicherheitstechnisch neue Wege zu gehen!!!

  5. Es würde mich interessieren wo und warum diese betagte Betriebssysteme noch genutzt werden. Wenn es sich zum Beispiel um Systeme in geschlossenen Netzen auf virtuellen Plattformen handelt ist das Ja weniger schlimm. Wenn diese betagte Betriebssysteme noch genutzt werden weil kritische Softwareprodukte nicht aufgerüstet werden können ist das Ja auch noch verständlich.

  6. Frank: Dann wäre es umso schlimmer, da gerade „kritische Softwareprodukte“ (ich nehme an, du meinst das in sicherheitstechnischer Hinsicht) aufrüstbar, d. h. upgradebar sein müssen. Sind sie es nicht, sind sie auch nicht sinnvoll.

    1. Jedi: Du hast Recht, dass ist das Ideal das angestrebt werden sollte. In meiner Erfahrung ist das praktisch leider nur in jungen oder trivialen Projekten umsetzbar.

      May the force be with you :-)

        1. Was Ich damit meine ist: Linux und/oder offener Quellcode befreit Dich nicht davon mit Altsystemen um gehen zu müssen. Das Problem sind eher limitierte Finanzen, ein Herstellers der pleite gegangen ist, Entwickler die zu einem neuen Projekt gewechselt haben, usw.

          1. Wenn du mit Altsystemen meinst, dass z. B. im Job noch Win verwendet werden muss, und das oft mit veralteten Versionen, dann könnte man mittelfristig mit einem Umstieg auf Linux sehr viel erreichen. Und wenn manche (wie Lena eben schrieb) Win im Job leider verwenden müssen, muss man das ja nicht auch im Privaten tun.
            Wenn du mit Altsystemen meinst, dass gewisse Linux-Systeme nicht regelmäßig (wegen mangelnder Finanzierbarbeit, Entwicklerwechsel usw.) weiterentwickelt werden, dann stimmt das zwar in manchen Fällen, ist aber imho kein Grund, nicht auf beständige Systeme umzusteigen. Und da gibt es eine ganze Menge, zumal bei entsprechender Akzeptanz dieses Systeme aufgrund des gestiegenen Interesses Förderungswürdigkeit generieren. Aus meiner Sicht ist es eher eine Willens- als eine Könnensfrage.

          2. Das wir nicht an einander vorbei reden lass mich versuchen mein Punkt mit einem Beispiel klar zu machen:

            Ein Labor mit dem Ich arbeite benutzt das Andre File System (AFS ) für vieles. Die OpenAFS Implementierung war allerdings mit neueren Kernel Versionen nicht mir kompatibel. Das hat es schwer gemacht von Betriebssystemen die auf RHEL6 basiert waren auf neuere Versionen aufzurüsten.

            Während der Quellcode natürlich offen ist war der Erhalt von OpenAFS außerhalb der Kompetenzen der Entwickler bei dem Labor. Das Labor konnte es nicht rechtfertigen Geld für den Erhalt dieser Software (in Form von Angestellten) zu finanzieren.

            Wo Ich Dir recht geben muss: Irgendjemand mit den richtigen Kompetenzen brauchte das dann doch und hat OpenAFS so umgeschrieben dass es auch auf einigen moderneren Kernel Versionen funktioniert. Es bleibt zu sehen wie es mit dem nächsten aufrüsten läuft – RHEL7 ist auch nimmer so frisch …

            Fazit: die Arbeit um Software zu erhalten muss auch für Linux geleistet werden. Wenn man das dezidiert macht profitieren alle.

            Wenn man weniger weit verbreitete Software Produkte braucht, werden die Chancen für so ein glimpflichen Ablauf sehr gering. Weit verbreitete freie und offene Software leidet unter dem Trittbrettfahrerproblem.

  7. Zu den Win7 Rechnern, die sich direkt der
    Regierung / Ministerien zuordnen lassen, werden
    noch viele in Instituten und quasi-staatlichen
    Orgas kommen. Beispiel: Ein Landratsamt lieferte vor
    10 Jahren Win7 Rechner an ehrenamtliche Leiter
    in kleinen Kommunen. Nun fallen diese aber NICHT
    unter den verängerten Support. Neue Win10 Rechner
    wurden beschafft, aber widersprichen EU-DSGVO. Die Spezial Software wurde ohne Quellcode-Recht von Fremdfirma auf Win-Basis erstellt.

  8. Die Free Software Foundation hat seit Januar 2020 eine Petition am laufen, die Microsoft dazu bewegen soll denn Quellcode für Windows 7 freizugeben.
    https://www.fsf.org/windows/upcycle-windows-7
    https://www.pro-linux.de/news/1/27751/fsf-startet-petition-f%C3%BCr-die-%C3%96ffnung-von-windows-7.html

    Ich selbst habe eine Windows 7 Maschine, ausschließlich für’s Gaming und würde mich freuen wenn viele unterzeichnen und noch mehr wenn Microsoft Windows 7 Open Source werden lässt.

  9. Ultima Ratio: Dein Wort in Gottes äh Gates´ Ohr…aber das wird wohl eher ein schöner Traum bleiben. Dann würden nämlich große Teile des Codes analysierbar, und man könnte Rückschlüsse auf neuere Win-Generationen ziehen und Schwachstellen/Backdoors finden, die nicht gefunden werden sollen. Denn andernfalls könnten Geheimdienste und Co. ihre (Staats-)Trojaner, Exploits und Verwandten nicht einschleusen, was dem allgegenwärtigen Terrorismus und anderen schlimmen Fingern natürlich massive Vorteile brächte. Denn wir sind ja nur noch von Kriminellen und Attentätern umgeben – wisst ihr das denn nicht? Der Seehofer sagt´s doch imma wie schlimm dass die Welt wordn´ is…

  10. Stichwort: Kompetenzzentrum Open Source Software

    Ah ja, da war ja etwas.
    Der ITZ-Dienstleister des Bundes, der da auch beteiligt ist, weigert sich aber stur, Informationen dazu heraus zu geben:
    https://fragdenstaat.de/anfrage/informationen-zum-kompetenzzentrum-open-source-software-cc-oss-2020/#nachricht-546354
    Früher wurde das Projekt dort noch auf der Webseite erwähnt, heute ist es vollkommen verschwunden nach einem Relaunch der Webseite. Im Bescheid wird lediglich erwähnt, dass es angeblich noch existiert.

    Nicht mal die Projektbeteilligten will es nennen:
    https://fragdenstaat.de/anfrage/projektbeteilligte-im-kompetenzzentrum-open-source-software/

    Wenn ihr mir den Widerspruch und potentielle Klage finanzieren wollt, mach ich das gern… ;)

  11. Windows ist inzwischen eine reine Datenkrake, etliche Ports sind offen wie Scheunentore und die Datensammelwut von Windows gleicht einer Spyware. Linux ist inzwischen so ausgereift, das auch ein unerfahrener Nutzer damit klar kommen sollte. Es schadet aber nicht auch mit dem Terminal zu arbeiten, man kann wirklich nur dazu lernen.

    Bei dem jetzt populären Homeoffice möchte ich nicht wissen, wie viele Rechner auf alten Windows laufend eine Gefahr für sensible Daten der Bürger sind. Datenschutz gleich null, die Frage bleibt: Wer haftet für Schäden im Falle des Daten-Super-GAUs? Viele Büroangestellte haben meist keinerlei Ahnung von IT-Sichereit, die wissen mit einfachsten Begriffen wie SSL z. Bsp. nichts anzufangen, eigentlich unterirdisch, wenn man mit sensiblen Bürger-Daten arbeitet.

  12. Für zu Hause als “ Ersthilfe “ kann ich nur “ Pi- Hole “
    empfehlen.
    Leider kann ich mich, beruflich bedingt, auch nicht völlig von MS verabschieden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.