Kleine Anfrage 2598des Abgeordneten Sven W. Tritschler vom 29.05.2019
Einsatz mobiler Endgeräte von Huawei in der Landesregierung/-Verwaltung – Risiken für IT-Sicherheit und Datenschutz?
Am 19. Mai 2019 hat die Tochterfirma von Alphabet Inc., Google, bekannt gegeben, dass sie aufgrund des Blacklistings („Entity-List“) von Huawei seitens der US-Regierung die Zusammenarbeit mit Huawei beim Transfer von Hardware, Software und technischen Diensten einstellen wird.1
Aufgrund dieser Entscheidung hätten künftige Geräte des Herstellers keinen Zugriff mehr auf Updates des Google-Betriebssystems Android, inklusive der Google-Dienste wie etwa Google-Playstore.
Weiterhin stellten auch US-amerikanische IT-Hersteller ihre Zusammenarbeit mit dem Konzern Huawei ein, so auch neben Microsoft die Hardwareproduzenten Intel, Qualcomm, Broadcom2 und Infineon. Außerdem haben die Bluetooth-, SD- und WiFi- Allianzen ihre Zusammenarbeit mit Huawei aufgekündigt.3
Infolge weiterer Klarstellungen ergibt sich für den Endkunden und Nutzer von bereits erworbenen Smartphones und Tablets folgende Situation: Google-Apps (Google Play Store, Google Maps, Google Mail, etc.) können bis auf weiteres auf gegenwärtig sich im Umlauf befindenden mobilen Endgeräten genutzt werden. Auch werden die mobilen Endgeräte mit Android weiterhin von Sicherheitspatches des „Android Open Source Programs“ versorgt.4
Huawei hat noch bis August 2019 eine offizielle Androidlizenz, danach soll laut Pressemeldungen eine Betriebssystem-Eigenentwicklung des Konzerns auf Open-Android-Basis namens Ark OS5 zum Einsatz kommen, voraussichtlich 2019 zuerst in China und ab 2020 wird es sich weltweit auf Smartphones des Herstellers verteilen.
Das neue Betriebssystem soll zwar zu Android-Apps kompatibel sein, jedoch kann der Nutzer solche Apps dann nur von einen zu Google Play alternativen Markt bezogen werden. Hier stellt sich die Frage, wie sicher solche über den alternativen App-Markt von Huawei bezogene Apps sind und ob damit in Zukunft die mobilen Endgeräte von Huawei weiterhin noch mit den Sicherheitskriterien des BSI6 vereinbar sind.
Ich frage daher die Landesregierung:
1. Wie viele mobile Endgeräte wurden 2018 von den Landesbehörden den Mitarbeiterinnen für den dienstlichen Einsatz zur Verfügung gestellt? (Bitte nach Geschäftsbereichen aufschlüsseln.)
2. Wie viele mobile Endgeräte des Herstellers Huawei setzten die obersten Landesbehörden 2017, 2018 und 2019 (Stichtag 31.03.2019) ein? (Bitte nach Geschäftsbereich der Landesbehörde, Marke, Gerätetyp, Betriebssystem und Betriebssystemversion aufschlüsseln.)
3. Inwiefern gibt es Vereinbarungen mit Herstellern bzw. Händlern zur regelmäßigen Lieferung von mobilen Endgeräten? (Bitte nach Hersteller / Händler, Gerätetyp, Nutzungsdauer, Laufzeit Liefervertrag aufschlüsseln.)
4. Nach welchen Sicherheitskriterien wird der Einsatz von mobilen Endgeräten für den Dienstgebrauch definiert?
Sven W. Tritschler
3 https://www.techradar.com/news/huaweis-os-to-be-rolled-out-next-month
5 https://www.techniknews.net/news/ark-os-von-huawei-in-der-endphase-ende-2019-fertig/
Nachfolgend die Antwort der Landesregierung, verfasst am 15.07.2019
Der Minister für Wirtschaft, Innovation, Digitalisierung und Energie hat die Kleine Anfrage 2598 mit Schreiben vom 15. Juli 2019 namens der Landesregierung im Einvernehmen mit dem Ministerpräsidenten sowie allen übrigen Mitgliedern der Landesregierung beantwortet.
Vorbemerkung der Landesregierung
Bei der Beantwortung der Kleinen Anfrage 2598 versteht die Landesregierung unter dem Begriff „mobile Endgeräte“ Smartphones und Tablets mit den mobilen Betriebssystemen iOS, Android und Blackberry OS. Bei Frage 1 wurde die Anzahl der mobilen Endgeräte zum Stichtag 31.12.2018 angegeben.
1. Wie viele mobile Endgeräte wurden 2018 von den Landesbehörden den Mitarbeiterinnen für den dienstlichen Einsatz zur Verfügung gestellt? (Bitte nach Geschäftsbereichen aufschlüsseln.)
Für im Bereich des Verfassungsschutzes verwaltete Geräte kann eine Beantwortung nicht erfolgen, da hierdurch konkrete Rückschlüsse auf die dortige sicherheitsrelevante IT-Architektur gezogen werden könnten und dadurch die Funktionsfähigkeit des Verfassungsschutzes nachhaltig beeinträchtigt würde.
Für den Bereich der Polizei konnten in der zur Beantwortung der Kleinen Anfrage zur Verfügung stehenden Zeit, aufgrund dezentraler Verantwortlichkeit der Polizeibehörden im Jahr 2018, für die Beschaffung keine Angaben gemacht werden.
Den Mitarbeiterinnen und Mitarbeitern der Landesverwaltung wurden somit zur Verfügung gestellt:
| Ressort | Mobile Endgeräte (Betriebssysteme iOS, Android, Blackberry OS) |
| Stk | 292 |
| MKFFI | 131 |
| MSB | 68 |
| MULNV | 903 |
| VM | 625 |
| JM | 823 |
| FM | 8.200 |
| IM | 1.449 |
| MHKBG | 123 |
| MAGS | 167 |
| MKW | 219 |
| MWIDE | 1.148 |
| Insgesamt | 14.148 |
2. Wie viele mobile Endgeräte des Herstellers Huawei setzten die obersten Landesbehörden 2017, 2018 und 2019 (Stichtag 31.03.2019) ein? (Bitte nach Geschäftsbereich der Landesbehörde, Marke, Gerätetyp, Betriebssystem und Betriebssystemversion aufschlüsseln.)
In den obersten Landesbehörden der Landesverwaltung werden keine mobilen Endgeräte der Fa. Huawei eingesetzt.
3. Inwiefern gibt es Vereinbarungen mit Herstellern bzw. Händlern zur regelmäßigen Lieferung von mobilen Endgeräten? (Bitte nach Hersteller / Händler, Gerätetyp, Nutzungsdauer, Laufzeit Liefervertrag aufschlüsseln.)
Neben der Möglichkeit des Bezugs über die Mobilfunkanbieter mit marktüblichen Laufzeiten hat IT.NRW Rahmenverträge (Lead Buyer) geschlossen, aus denen bei Bedarf die für den Einsatz in der Landesverwaltung freigegebenen Produkte abgerufen werden können:
- Rahmenvereinbarungen mit der Computacenter AG & Co. oHG über die Beschaffung von Subnotebooks, Mobilen Notebooks, Desktopersatz mit integriertem optischem Laufwerk und Convertibles.
- Rahmenvereinbarungen mit der Bechtle GmbH über Detachable und über iOS Produkte.
- Rahmenvereinbarung mit der think about IT GmbH über Convertibles.
Die Laufzeit (Nutzungszeit) der mobilen Endgeräte erfolgt bedarfsorientiert; eine regelmäßige Lieferung erfolgt somit nicht.
4. Nach welchen Sicherheitskriterien wird der Einsatz von mobilen Endgeräten für den Dienstgebrauch definiert?
Die Landesverwaltung orientiert sich grundsätzlich an den Empfehlungen und Sicherheitskriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und wendet den IT-Grundschutz verbindlich an. Auf dieser Basis werden weitergehende Regelungen getroffen.