Schlagwort: Microsoft Corp

Fast nur “wichtige” Sicherheitsupdates für Windows & Co. | heise Security

Am ersten Patchday des Jahres räumt Microsoft 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Davon gelten sieben Lücken als kritisch, 40 Patches sind als wichtig markiert.

Als besonders gefährlich gelten zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V. Ist ein Angreifer in einer virtuellen Maschine im Gast-System angemeldet, soll er durch das Ausführen einer speziellen Anwendung Schadcode in das Host-System schieben und ausführen können.

Wie eigentlich jeden Monat hat der Browser Edge Probleme mit der Speicherverwaltung (CVE-2019-0565) und der alleinige Besuch einer von einem Angreifer präparierten Website soll als Sprungbrett für Schadcode dienen.

Eine weitere kritische Sicherheitslücke ist im DHCP-Client von Windows 10 und Server (Version 1803). Um die Lücke (CVE-2019-0547) auszunutzen, muss ein Angreifer lediglich speziell vorbereitete DHCP-Anfragen an verwundbare Windows-Computer schicken. Anschließend soll das Ausführen von Schadcode möglich sein.

Wichtige Sicherheitsupdates

Den Patch für eine Remote-Code-Execution-Lücke (CVE-2019-0586) in Exchange stuft Microsoft nur als wichtig ein, obwohl bereits der Empfang einer präparierten E-Mail einen Angriff einleiten können soll, um Schadcode auf Computer zu schieben.

Eine Schwachstelle (CVE-2019-0579) in Jet Database Engine ist Microsoft zufolge schon länger öffentlich bekannt, Angriffe soll es derzeit aber noch nicht geben.

Das Flash-Update zur Steigerung der Performance holen sich Internet Explorer 11 und Edge unter Windows 8.1 und 10 automatisch. So passiert es auch bei Chrome.

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Cisco Talos bekommt man einen besseren Überblick. (des)

[UPDATE, 09.01.2019 10:50 Uhr]

Hinweis auf Flash-Update in Fließtext eingebaut.

[UPDATE, 10.01.2019 11:00 Uhr]

Windows 7: Updates KB4480970 und KB4480960 verursachen Netzwerkprobleme

(des)

Source

Categories: Sicherheit

Tags:

Trojaner GandCrab ist zurück | heise Security

Das CERT-Bund, die Computer-Gefahrenstelle der Bundesverwaltung, warnt aktuell vor einer Ausbruchswelle des Verschlüsselungstrojaners GandCrab, der sich wieder einmal über Bewerbungs-Unterlagen verbreitet.

Die Methode mit der zuerst der Verschlüsselungstrojaner Goldeneye deutsche Unternehmen in Verlegenheit gebracht hatte, funktioniert Jahre später offensichtlich immer noch. Immerhin sind die Angriffe verbreitet genug, um das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betriebene CERT zu einer Warnung zu veranlassen.

Die gefälschte Bewerbung will das Opfer dazu veranlassen, Office-Makros zu aktivieren

(Bild: CERT-Bund)

Laut CERT-Bund verbreitet sich der Trojaner über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.

Das Dokument gibt vor “mit einer älteren Version von Microsoft Word erstellt” worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumente zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.

Nicht auf Virenscanner verlassen

Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt. Man sollte sich auch nicht darauf verlassen, dass der auf dem System installierte Viren-Wächter den Schädling ausschaltet, bevor der Nutzer die Word-Makros aktiviert und damit den Rechner an den Trojaner ausliefert. Aktuell schlagen laut des Web-Scanners VirusTotal immer noch nicht alle AV-Programme auf den Schädling an. Und das, obwohl die Infektionsdatei schon zwei Tage alt ist.

Außerdem könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derart E-Mails äußerst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – also schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.
(Fabian A. Scherschel) /

(fab)

Source

Categories: Sicherheit

Tags:

Zero-Day-Fix für Windows, kritische Exchange-Lücke | heise Security

Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke


Alert!

10.10.2018 09:38 Uhr
Fabian A. Scherschel

Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke

(Bild: heise online)

Im Oktober behebt Microsoft knapp 50 Sicherheitsprobleme. Darunter kritische Lücken in Windows-Komponenten und im Exchange Mail-Server.

Pünktlich zum zweiten Dienstag im Monat hat Microsoft knapp 50 Sicherheitslücken in vielen seiner Software-Komponenten geschlossen. Diesmal gibt es Patches für Windows, Office, Internet Explorer, Edge, SQL Server Management Studio, den Exchange Server und mehrere Windows- und Browser-Komponenten. Teile von Azure IoT erhalten ebenfalls Updates. Ein Dutzend der Sicherheitspatches gelten als kritisch. Besonders schwer wiegt eine Rechteausweitungslücke in Windows, die bereits bei ihrer Entdeckung für Angriffe ausgenutzt wurde (ein sogenannter Zero Day).

Zero Day in Windows wird für Angriffe missbraucht

Die Zero-Day-Lücke (CVE-2018-8453) in der Win32k-Komponente des Grafikinterfaces GDI kann von einem Angreifer, der bereits ins System eingedrungen ist, dazu missbraucht werden, Schadcode mit Systemrechten auszuführen. Das gäbe ihm Zugriff auf alle Daten des Systems und die Möglichkeit, Benutzerkonten zu manipulieren. Informationen des AV-Herstellers Kaspersky zufolge wurde die Zero-Day-Lücke von einer Hackergruppe verwendet, um äußerst zielgerichtete Angriffe auszuführen. Kaspersky verfolgt diese APT-Gruppe unter dem Namen FruityArmor seit einigen Jahren und hatte die benannte Lücke an Microsoft gemeldet. Die Sicherheitsfirma will zeitnah einen detaillierten Bericht zu der Entdeckung vorlegen.

Acht Jahre alte kritische Lücke in Exchange

Die Lücke im Exchange-Server ist ebenfalls auffällig. Hierbei handelt es sich um ein Sicherheitsproblem (CVE-2010-3190), das Microsoft bereits im Jahr 2010 behoben hatte – damals allerdings nicht in Exchange. Über das Laden manipulierter DLL-Dateien kann ein Angreifer hier aus der Ferne beliebigen Schadcode ausführen. Alle Versionen des Exchange-Servers sind laut Microsoft betroffen. Exchange Server 2016 sollte auf das kumulative Update 11 aktualisiert werden. Administratoren, die eine andere Version von Exchange einsetzen, sollten laut Microsoft unbedingt ein Update für Visual Studio 2010 installieren. Dieses Vorgehen beschreiben die Entwickler im Sicherheitshinweis MS11-025.

Liste der Updates und Verteilungsmethoden

Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Inwieweit das momentan durch die Probleme mit dem 1809-Update zum Stocken kommt, ist allerdings zu diesem Zeitpunkt noch unklar. Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von HPs Zero Day Initiative.

(fab)

Source

Categories: Sicherheit

Tags:

Zero-Day-Lücke in Microsoft Jet Engine | heise Security

Windows: Zero-Day-Lücke in Microsoft Jet Engine


Alert!

21.09.2018 11:57 Uhr
Dennis Schirrmacher

Windows: Zero-Day-Lücke in Microsoft Jet Engine

(Bild: Comfreak)

Sicherheitsforscher warnen vor einer bislang ungepatchten Sicherheitslücke in Microsoft Jet Engine. Die Windows-Lücke gilt nicht als kritisch.

Wer unter Windows Microsoft Joint Engine Technology (Jet Engine) nutzt, sollte keinesfalls Datenbanken aus unbekannten Quellen öffnen. In Jet Engine klafft eine Sicherheitslücke, über die Angreifer Schadcode auf verwundbare Windows-PCs schieben und ausführen könnten. Davon sollen alle Windows-Versionen bedroht sein. Jet Engine kommt beispielsweise in einigen Versionen von Microsoft Access und Visual Basic zum Einsatz,

Sicherheitsforscher von Trend Micro haben Microsoft eigenen Angaben zufolge vor mehr als vier Monaten von der Lücke unterrichtet – bislang gibt es noch keinen Sicherheitspatch. Nun haben sie einen Blogbeitrag mit Details zu der Schwachstelle veröffentlicht. Es ist davon auszugehen, dass Microsoft am kommenden Patchday im Oktober ein entsprechendes Sicherheitsupdate veröffentlicht. Microsofts Patchday findet monatlich an jedem zweiten Dienstag statt.

Bedrohungsgrad nicht kritisch

Angreifer sollen die Lücke aus der Ferne zum Ausführen von Schadcode ausnutzen können. In einem derartigen Fall gilt ein Computer in der Regel als kompromittiert. Die Lücke ist aber nur mit dem CVSS Score 6.8 von maximal 10 eingestuft und gilt somit nicht als kritisch.

Das rührt daher, dass ein Opfer eine von einem Angreifer präparierte Datenbank öffnen muss, damit ein Angriff erfolgreich ist. Das kann lokal erfolgen – Trend Micro zufolge reicht aber auch der Besuch einer mit einem derartigen Dokument ausgestatteten Webseite aus. Anschließend kommt es zu einem Speicherfehler (out-of-bounds).

Proof-of-Concept-Code ist bereits auf Github verfügbar. Der Sicherheitsforscher Mitja Kolsek hat diesen erfolgreich ausprobiert und listet auf Twitter seine Erkenntnisse auf. Beispielsweise konnte er den Speicherfehler nicht über den Besuch einer präparierten Webseite auslösen.

(des)

Source

Categories: Sicherheit

Tags:

Microsoft schließt Zero-Day-Lücke in Windows | heise Security

Patchday: Microsoft schließt Zero-Day-Lücke in Windows


Alert!

12.09.2018 10:39 Uhr
Dennis Schirrmacher

Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Es gibt aktuelle Sicherheitsupdates für Windows & Co. Eine Lücke nutzen Angreifer derzeit aus.

An diesem Patchday kümmert sich Microsoft um über 60 Sicherheitslücken und stellt Patches für Office und Windows zum Download bereit. 17 Schwachstellen sind als kritisch eingestuft. Eine Windows-Lücke nutzen Angreifer derzeit aktiv aus. Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update den Computer mit Patches versorgt. In der Standardeinstellung geschieht dies automatisch.

Die ausgenutzte Schwachstelle findet sich in der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC). Dort setzen derzeit Angreifer weltweit an, um sich höhere Rechte zu erschleichen und Computer zu übernehmen. Damit so ein Übergriff klappt, muss ein Angreifer aber bereits Zugriff auf einen Computer haben. Nun gibt es ein Sicherheitsupdate für die Lücke mit der Kennung CVE-2018-8440. Dieses Update stuft Microsot aber nicht als “kritisch” sondern nur als “wichtig” ein.

Weitere gefährliche Schwachstellen

Weitere kritische Lücken hat Microsoft in beispielsweise Edge, Office und verschiedenen Windows-Komponenten wie Hyper-V geschlossen. Microsofts Webbrowser Edge und Internet Explorer sind vor allem für Speicherfehler anfällig. Dabei genügt der Besuch einer von einem Angreifer vorbereiteten Webseite, damit er Schadcode auf Computern ausführen und diese übernehmen kann.

Schadcode könnten Angreifer auch über Schwachstellen im PDF Reader von Edge und Hyper-V auf anvisierte Computer bringen. Das jüngst veröffentlichte Flash-Update installiert sich unter Windows 8.1 und 10 für Edge und Internet Explorer 11 automatisch.

Weitere Infos zu den Sicherheitslücken und Patches findet man im Security Update Guide von Microsoft. Dort ist es jedoch äußert unübersichtlich. Eine bessere Auflistung findet man beispielsweise bei Bleepingcomputer.

(des)

Source

Categories: Sicherheit

Tags:

Zero-Day-Lücke in Windows, Microsoft-Statement steht noch aus | heise Security

Zero-Day-Lücke in Windows, Microsoft-Statement steht noch aus


Alert!

28.08.2018 12:53 Uhr
Dennis Schirrmacher

Zero-Day-Lücke in Windows, Microsoft-Statement steht noch aus

Sicherheitsforscher warnen vor einer Sicherheitslücke in Windows, für die es noch keinen Patch gibt.

Offenbar können Angreifer Windows attackieren und sich System-Rechte verschaffen. Welche Windows-Ausgaben betroffen sind und wie ein Angriff im Detail ablaufen kann, sind bislang noch unklar. Die Schwachstelle gilt nicht als kritisch.

Bekannt ist, dass die Sicherheitslücke in der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC) klaffen soll. Zum jetzigen Zeitpunkt gibt es nur eine Warnmeldung vom CERT der Carnegie Mellon University. Die beziehen sich wiederum auf einen Tweet, der mittlerweile nicht mehr verfügbar ist.

Statement steht noch aus

Eine Antwort auf die Frage von heise Security an Microsoft, wann ein Sicherheitspatch kommt, steht noch aus. Die Nachrichtenseite The Register zitiert einen Microsoft-Sprecher welcher versichert, dass sie verwundbare Systeme so schnell wie möglich absichern wollen. Dabei verweist er auf den kommenden Patchday. Dieser ist am 11. September 2018.

Der Sicherheitsforscher Will Dormann vom CERT hat die Lücke eigenen Angaben zufolge auf einem 64-Bit-System mit aktuellem Windows 10 erfolgreich ausgenutzt. Auf Github gibt es Proof-of-Concept-Code. Bislang gibt es dem CERT zufolge keinen Schutz vor der Schwachstelle.

(des)

Source

Categories: Sicherheit

Tags:

Angreifer attackieren Internet Explorer | heise Security

Patchday Microsoft: Angreifer attackieren Internet Explorer

Update


Alert!

Stand: 15.08.2018 10:22 Uhr
Dennis Schirrmacher

Patchday Microsoft: Angreifer attackieren Internet Explorer

In diesem Monat veröffentlicht Microsoft Sicherheitsupdates für 60 Lücken in Windows & Co. Zwei Schwachstellen sind derzeit im Fokus von Angreifern.

Windows-Nutzer sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind. Das ist diesen Monat besonders wichtig, da unbekannte Angreifer momentan Lücken in Internet Explorer und Windows Shell aktiv ausnutzen.

Mit einer verwundbaren Ausgabe des Internet Explorer kann der Besuch einer präparierten Webseite ausreichen, um eine erfolgreiche Attacke einzuleiten. Klappt alles, können Angreifer Code mit den Rechten des Nutzer ausführen, warnt Microsoft. In einem derartigen Fall übernimmt ein Angreifer in der Regel die volle Kontrolle. Die Schwachstelle gilt als kritisch.

Die zweite derzeit ausgenutzte Lücke findet sich in Windows Shell. Hier sind die Hürden für einen erfolgreichen Übergriff aber etwas höher und ein Opfer muss ein von einem Angreifer erstelltes Dokument öffnen, damit dieser Zugriff auf einen Computer bekommt. Weitere Infos stehen in der Sicherheitswarnung.

Noch mehr Sicherheitslücken

Insgesamt gelten 20 Schwachstellen als kritisch, 38 als wichtig und eine als moderat. Der Großteil an kritischen Lücken klafft in der Chakra Scripting Engine. Darüber verwaltet der Browser Edge Elemtente im Speicher. Auch hier soll der Besuch einer Webseite eines Angreifers ausreichen, damit dieser Schadcode auf Computer schieben und starten kann, führt Microsoft aus.

Darüber hinaus gibt es noch Sicherheitspatches für .NET Framework, Cortana, Device Guard, DirectX, Excel, Microsoft SQL Server (kritisch) und Windows Kernel. Unter Windows 8.1 und 10 installiert sich das aktuelle Flash-Update für Edge und Internet Explorer 11 automatisch.

Infos zu allen Lücken findet man im offiziellen Security Update Guide. Dort ist es aber äußerst unübersichtlich. Eine bessere Auflistung findet man beispielsweise in einem Blog-Eintrag von Cisco Talos.

[UPDATE, 15.08.2018 10:35 Uhr]

An diesem Patchday kümmer sich Microsoft auch um die jüngst enthülte CPU-Lücke Foreshadow alias L1 Terminal Fault. Die Sicherheitsupdates stehen für verschiedene Windows-Ausgaben bereit.

(des)

Source

Categories: Sicherheit

Tags:

Niedersachsen will knapp 13.000 Rechner auf Windows umstellen | heise online

No Comments

Linux-Aus: Niedersachsen will knapp 13.000 Rechner auf Windows umstellen

24.07.2018 16:59 Uhr

Stefan Krempl

(Bild: dpa, Tobias Kleinschmidt)

In der niedersächsischen Steuerverwaltung sollen die Arbeitsplatz-Computer von Linux auf Microsoft migriert werden.

Nach München droht dem Pinguin nun auch auf niedersächsischen Verwaltungsrechnern das Aus . Derzeit laufen in der Steuerverwaltung des Bundeslands etwa 13.000 Arbeitsplatzcomputer mit einem Linux-Betriebssystem, für das entsprechende Fach- und Büroanwendungen meist ebenfalls als Open-Source-Software bereitgestellt werden. Wie eine Sprecherin des Finanzministeriums gegenüber heise online bestätigte, ist nun aber eine Migration der Rechner auf ein Betriebssystem von Microsoft “in einer dann aktuellen Version” geplant. Dabei werde es sich vermutlich um Windows 10 handeln.

“Hierzu werden gerade im Landesamt für Steuern Niedersachsen die Rahmenbedingungen und möglichen Lösungsalternativen erarbeitet”, heißt es in Hannover. Für Windows spreche insbesondere, dass dieses bereits auch in der Finanzverwaltung schon “in großem Umfang” insbesondere im Außendienst und bei Telearbeitsplätzen eingesetzt werde. Die Landesregierung habe vorgegeben, die Arbeitsplatzsysteme zu vereinheitlichen und so Verfahren zu vereinfachen sowie die Softwareentwicklung im steuerlichen “Konsens-Verbund” zu erleichtern. Für das über mehrere Jahre laufende Gesamtprojekt wolle die Exekutive im kommenden Jahr 5,9 Millionen Euro und für die Folgejahre jeweils 7 Millionen Euro zur Verfügung stellen.

Vorzeigeprojekt für erfolgreiche Migration

Für detailliertere Aussagen, welcher der derzeit untersuchten Lösungsansätze tatsächlich verfolgt wird, sei es noch zu früh, erklärte das Ministerium weiter. Zunächst müssten die Rahmenbedingungen festgelegt und eine Vorauswahl möglicher Lösungsansätze getroffen werden. Im Anschluss könne eine “Entscheidung über das weitere Vorgehen und eine Kosten-/Nutzenabwägung in Auftrag gegeben werden”. Aufgrund der Komplexität des IT-Betriebs und der sehr heterogenen Rahmenbedingungen dürften fundierte Angaben dazu nicht vor Ende des Jahres möglich sein.

Eine EU-Beobachtungsstelle führt die vorausgegangene Umstellung der Rechner auf OpenSuse 12.2/13.2 seit 2012 als Vorzeigeprojekt für eine erfolgreiche “XXL-Migration”. Laut einer Umfrage habe der Großteil der Nutzer etwa in den rund 70 Finanzämtern Niedersachsens den Wechsel begrüßt und sich nach Trainingsstunden gut bis sehr gut darauf vorbereitet gesehen. Rechtliche Probleme habe es nicht gegeben, die Umstiegskosten hätten sich im Rahmen gehalten.

Koalitionsvertrag sieht Linux-Ausstieg vor

Ein Upgrade oder Wechsel des Linux-Systems wäre früher oder später nötig gewesen, da die eingesetzten Suse-Varianten von dem Hersteller offiziell nicht mehr mit Support unterstützt werden. Die rund 12.500 Rechner auch auf dem Desktop in der Open-Source-Welt zu halten, würde unter anderem neue Schulungskosten sowie möglicherweise den Austausch mancher Hardware einsparen.

Ganz überraschend kommt das Vorhaben der Migration trotzdem nicht. So haben SPD und CDU in ihrem Koalitionsvertrag von 2017 bereits für die Steuerverwaltung festgehalten: “Wir werden den in Niedersachsen bislang Linux-basierten Verfahrensbetrieb aufgeben.” Mit diesem Ansatz solle die länderübergreifende Zusammenarbeit erleichtert und der “Aufwand in Programmierung und Verfahrensbetreuung” reduziert werden. Begriffe wie “Open Source” oder “freie Software” tauchen in dem rot-schwarzen Fahrplan dagegen nicht auf.

Der “Niedersachsen”-Client

Schon in der niedersächsischen IT-Strategie, die 2016 noch unter Rot-Grün entstanden ist, dreht sich zudem viel um die anzustrebende “Konsolidierung der IT-Landschaft der Landesverwaltung”. Bezogen auf die IT-Arbeitsplätze ist davon die Rede, dass künftig umfassend “standardisiert” Client-Rechner zum Einsatz kommen sollen. Hierdurch sollen “wirtschaftliche Synergieeffekte” erzielt, die Arbeitsqualität verbessert und die Informationssicherheit auf ein “einheitliches Schutzniveau” gehoben werden.

Für viele Verwaltungsbereiche hat der Landesbetrieb IT.Niedersachsen auf Basis dieser Vorgaben mittlerweile einen “Niedersachsen-Client” entwickelt, der auf Windows 8.1 und Microsoft Office 2013 basiert. Laut der Regierungssprecherin ist es aber fraglich, ob diese bestehende “Standard-Lösung” für die Steuerverwaltung tauge, da letztere – ähnlich wie die Polizei – “andere Anforderungen” habe als die allgemeine Verwaltung. Die Landespolizei hatte bereits 2014 beschlossen, nach gut elf Jahren knapp 12.000 IT-Arbeitsplätze von Linux wieder zurück auf Windows umzustellen und das für die Fallbearbeitung genutzte Open-Source-System Nivadis abzuwickeln.

Ein Drittel Open-Source-Software

Zum Konzept des Niedersachsen-Clients gehört zugleich prinzipiell der Einsatz freier Software. Nach Regierungsangaben bedeutet dies, dass “für alle wesentlichen Anwendungsfälle eines typischen Büroarbeitsplatzes auch eine Open-Source-Lösung bereitgestellt wird”. Die jeweilige Behörde entscheiden dann, welche Office-Programme oder Mail- und Browsersoftware verwendet werde. Im Rahmen der Einführung neuer Verfahren und Anwendungen werde stets “proaktiv die Nutzungsmöglichkeit quelloffener Programme geprüft”. Derzeit würden in der Landesverwaltung im Client- und Serverumfeld zu gut einem Drittel Open-Source-Software beziehungsweise grundsätzlich nicht kostenpflichtige Programme eingesetzt. Der “gesunde Wettbewerb” um bessere IT-Komponenten werde zudem durch das geltende Vergaberecht gewährleistet und gefördert.

Den skizzierten Kurswechsel in der Steuerverwaltung kritisiert die Free Software Foundation Europe (FSFE) scharf. Der Fall Limux in München habe gezeigt, “dass Migrationen zurück in die proprietäre Softwarewelt enorme Kosten verursachen”, erklärte FSFE-Programm-Manager Max Mehl gegenüber heise online. Anstatt die Chance zu nutzen, die bestehende Infrastruktur aus Linux-Systemen auszubauen, “begibt man sich freiwillig zurück in einen Käfig aus künstlichen Abhängigkeiten von einzelnen Herstellern”. Vorteile für die Verwaltung und den Steuerzahler seien dabei nicht zu erwarten, auch die IT-Sicherheit werde durch weniger transparente Programme nicht gestärkt. Mehl riet Niedersachsen, eine “zukunftsgerichtete IT-Strategie” etwa nach dem Vorbild Schleswig-Holsteins zu entwickeln.

[Update 25.07.2018 – 09:05 Uhr] Der Wechsel auf OpenSuse erfolgte nicht von Windows, sondern von Solaris. Das wurde korrigiert.
(Stefan Krempl) /

(axk)

Source

Categories: IT - News

Tags: