X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Bei Kontrollen in öffentlichen Stellen fallen regelmäßig Computer mit Internet-Zugang, aber ohne aktuelle Software auf. Wenn der Hersteller des Betriebssystems oder einer Anwendung Aktualisierungen kostenfrei bereit stellt, so ist der Anwender bzw. Administrator in der Pflicht, diese auch einzuspielen. Im Zweifel sollte die automatische Update-Funktion der entsprechenden Software aktiviert werden.

Während das Betriebssystem und Anwendungen desselben Herstellers noch relativ einfach aktualisiert werden können, kommen Anwendungen von Drittanbietern jeweils mit eigenen Aktualisierungs- und Installationsroutinen. Das ist nicht zeitgemäß, lässt sich aber durch Microsofts Aktualisierungspolitik erklären. Folgenden Forderungen muss ein modernes Betriebssystem genügen:

• Aktualisierungen müssen zentral eingespielt werden können. Der Betriebssystemhersteller sollte Möglichkeiten für Softwarehersteller anbieten, eigene Patches auf den Standardwegen auszuliefern.
• Der Betrieb von Aktualisierungs-Servern sollte auch auf Arbeitsplatz-PCs möglich sein. Im Idealfall würde eine verteilte Infrastruktur zur Speicherung von Updates usw. genutzt werden können.
• Aktualisierungen müssen möglichst ohne Nachfragen oder Neustarts installiert werden können.
• Aktualisierungen müssen auch bei Nutzung eines eingeschränkten Zugangskontos installiert werden können und dürfen keine Seiteneffekte, z. B. aufgrund fehlender Rechte, haben.

Es ist legitim, alte Software zu nutzen, jedoch bedeutet dies oft auch, den Rechner von potentiell unsicheren Netzwerken wie dem Internet zu trennen. Es reicht nicht, sich darauf zu verlassen, dass der Router oder die Firewall Zugriffsversuche von außen blockieren werden.

Im Land fehlt ein zentrales Software-Management. Es ist nicht sinnvoll, wenn jede Behörde Standard-Software selbst ausprobieren, testen, in MSI-Archive konvertieren und regelmäßig aktualisieren muss. Es müssen fertige Pakete zentral bereitgestellt werden, welche jeweils die aktuellste getestete Software enthalten und automatisiert installiert und aktualisiert werden können. Selten genutzte Software sollte als portable Installation ebenfalls zentral angeboten werden, sodass eine Behörde nur einen Spiegelserver einrichten muss und ständig jede aktuelle (freie) Software zur Verfügung steht. Nutzer werden durch fehlende und veraltete Software zur Unproduktivität und Unsicherheit gezwungen. Die Weiterbildung in vielen Behörden stagniert, viele Mitarbeiter kommen gar nicht auf die Idee, aktuelle Software zu verlangen und nutzen "was da" ist. Es ist z. B. nicht zeitgemäß, Fotografien aufwändig mit mspaint.exe (von Windows XP) zu bearbeiten, wenn gleichzeitig sehr gute Alternativen zur Verfügung stehen. Alternativsoftware ist fast immer kostenfrei und ohne Einschränkungen nutzbar. Von der Nutzung von veralteten Internet Explorern wird explizit abgeraten. Der Internet Explorer ist mindestens in der Version 8, nach Möglichkeit in der Version 9 bei Zugriffen auf das Internet einzusetzen. Auch in diesem Fall wird geraten, ggf. alternative Software zu nutzen, welche in der Regel auch ohne tiefgreifende Änderungen am Betriebssystem auskommt und einfach erprobt und betrieben werden kann.