IT‑Sicherheit

Meine schriftliche Anfrage (Drucksache 19/25829) an den Berliner Senat gibt Einblick in die aktuellen Herausforderungen des IT-Dienstleistungszentrums Berlin (ITDZ). Im Mittelpunkt stehen die Finanzierung, die Vertragsgestaltung und die technischen Rahmenbedingungen, die die Arbeit des ITDZ prägen.

Ein wiederkehrendes Problem sind Projekte, die ohne abgeschlossene Verträge beginnen. Zwar betont der Senat, dass das ITDZ keine Leistungen ohne Beauftragung erbringt. In der Praxis werden jedoch Projektverträge oder Letters of Intent (LOI) genutzt, um Vorhaben schnell zu starten, während die finalen Betriebsverträge oft erst später verhandelt werden. Eine Validierung durch den Senat steht dabei häufig noch aus, was zu Unsicherheiten über die tatsächlichen Kosten und Verantwortlichkeiten führt.

Das ITDZ darf Kassenkredite nur zur kurzfristigen Überbrückung von Liquiditätsengpässen aufnehmen. Die Obergrenze liegt bei 25 % des Eigenkapitals (gem. § 1 Abs. 2 ITDZ-Errichtungsgesetz) und muss über die Landeshaushaltskasse aufgenommen werden. Die Konditionen werden von der Senatsverwaltung für Finanzen festgelegt und orientieren sich an Marktstandards. Eine flexiblere oder günstigere Kreditaufnahme über andere Banken ist rechtlich nicht möglich.

Die Preise des ITDZ basieren auf der Verordnung PR Nr. 30/53 und müssen jährlich durch ein externes IKT-Benchmarking auf Marktüblichkeit überprüft werden. Das Problem: alte Verträge (für die Museum-IT) sind nicht mehr kostendeckend und das Land Berlin ist zu oft nicht bereit, die Preise an steigende Betriebskosten anzupassen. Dazu erschwert die Einbeziehung von Gemeinkosten in die Preiskalkulation die Transparenz. Dies führt dazu, dass das ITDZ offenbar gezwungen ist, wirtschaftlich nachteilige Verträge zu bedienen. Der Senat muss sich dem stellen und dafür sorgen, dass die Finanzierung des ITDZ nachhaltig gesichert wird. Die derzeitigen Herausforderungen bei der Digitalisierung sind zu dringend, um weiter vernachlässigt zu werden. Ein funktionierender IT-Dienstleister ist dafür das Fundament.

Die Antwort des Senats auf meine schriftliche Anfrage zur Multi-Faktor-Authentifizierung (MFA) in der Berliner Verwaltung (Drucksache 19/25618) liest sich wie ein Lehrbuchbeispiel für halbherzige Digitalisierung: viel Verweis auf BSI-Standards, wenig konkrete Umsetzung – und keine erkennbare langfristige IT-Sicherheitsstrategie. Der Senat betont, dass „flächendeckend mindestens die Zwei-Faktor-Authentifizierung im Einsatz” sei. Klingt gut, oder? Doch wer genauer hinschaut, erkennt schnell die Lücken: Welche Methoden werden tatsächlich eingesetzt – Hardware-Token, App-basierte TANs oder doch nur die unsicheren SMS-TANs? Darüber schweigt der Senat und verweist auf „potenzielle Angriffsvektoren”.

Bereits 2024 fragte ich nach dem Einsatz von Passkeys – einem modernen, passwortlosen Authentifizierungsverfahren, das auch das BSI ausdrücklich empfiehlt. Die Antwort des Senats damals: Man teile die „Auffassung des BSI” – doch mehr als das kam nicht. Keine Pläne, keine Pilotprojekte, keine Zeitpläne. Nur der obligatorische Verweis auf den BSI-Grundschutz. Besonders aufschlussreich für die aktuelle Anfrage ist dabei ein Satz aus dem November 2024: „Eine Übersicht zu den in der Berliner Verwaltung eingesetzten digitalen Authentisierungsverfahren (über „einfache” Passwörter hinaus) liegt der IKT-Steuerung nicht vor.”

Ich bezweifle, dass sich daran bis heute etwas geändert hat – denn eine umfassende IT-Bestands- und Planungsübersicht gibt es offiziell immer noch nicht. Und ebenso wenig weiß der Senat, wie viele Mitarbeiter*innen der Verwaltung überhaupt zum Thema IT-Sicherheit geschult werden.” Dabei wäre gute IT-Sicherheit weit mehr als ein technisches Detail – sie stärkt das Vertrauen der Bürger*innen in die Digitalisierung der Verwaltung und ist ein wesentlicher Baustein für ein krisenresilientes Berlin

Gute Nachricht: Im Gegensatz zu 2025 sind offenbar aktuell keine unsicheren Windows-Server mehr im Einsatz. Dies geht aus einem Bericht der Senatskanzlei hervor (Rote Nr. 2741). Doch der Blick auf die Zahlen zeigt: Die Verwaltung hängt weiterhin an recht alten Windows-Servern. Demnach sind noch etwa 30 Windows-Server 2012 mit teuren Extended Security Updates (ESU) im Einsatz.

Aktuell laufen in Berlin 3.700 Windows-Server, davon:

• 427 mit Windows Server 2016 (Support-Ende: Januar 2027)
• 846 mit Windows Server 2019 (Support-Ende: Januar 2029)
• 1.458 mit Windows Server 2022 (Support bis 2031)

Dabei fällt auf: In diesem Jahr benötigen insgesamt 427 Windows Server 2016 ein Update, um nicht in die teuren ESU zu kommen. 300 dieser Server sind in der Selbstverwaltung der Senatsverwaltungen. Die Erfahrungen der letzten Jahre haben gezeigt, dass gerade die selbstverwalteten Server sehr viel langsamer aktualisiert werden. Erst seit Juni 2025 werden die selbstverwalteten Server überhaupt erfasst!

Für die Zukunft ist eine zentrale Steuerung über das ITDZ geboten, die zentrale Sicherheitsupdates garantiert. Eine zentrale IT-Infrastruktur würde vermutlich auch den Wechsel zu Open-Source-Servern bis 2035, wie Bündnis 90/Die Grünen fordern, vereinfachen. Ein “weiter so” belässt Berlin in der Microsoft-Falle: Jede Behörde entscheidet selbst und meist für teure Lizenzen statt freier Alternativen.

Im Ausschuss für Digitalisierung und Datenschutz am 22. September 2025 gab die Chief Digital Officer (CDO) des Senats eine ernüchternde Nachricht bekannt: Der schwarz-rote Senat zieht sich aus der zentralen Steuerung des Schlüsselprojekts OneIT@Berlin zurück – nach neun Jahren E-Government-Gesetz (EGovG Bln) und zahlreichen Versprechen von Kai Wegner, Digitalisierung zur „Chefsache“ zu machen. Statt einer konsequenten politischen Führung werden nun die einzelnen Verwaltungen sowie das IT-Dienstleistungszentrum Berlin (ITDZ) mit der Verantwortung alleingelassen (mein Statement im Ausschuss – YouTube).

Das Programm neu aufzustellen ist sinnvoll. Die komplette Steuerung aus der Hand zu geben ist jedoch ein Fehler. Gerade die dringend nötige Standardisierung der IKT-Arbeitsplätze braucht politische Führung: Nur eine einheitliche Infrastruktur ermöglicht schnelle Updates und verlässliche Sicherheitsstandards. Das Scheitern beim Update von Windows 10 auf Windows 11 belegt, dass dezentrale Verantwortlichkeiten nicht zukunftsfähig sind.

Die Umstellung auf das Internet Protokoll Version 6 (IPv6) des Berliner Landesnetzes sowie der angrenzenden lokalen Netzinfrastrukturen, muss bis 12/2029 vollständig abgeschlossen sein (IPv6 only). Diese Vorgabe ergibt sich aus der Architekturrichtlinie des Bundes, technische Vorgabe (TV) 09 Kommunikation. Darüber hinaus sind bereits jetzt keine freien IPv4 Adressbereiche verfügbar. Während der Senat noch im April 2024 keine strategische Planung zum Wechsel auf das Internet Protokoll Version 6 (IPv6) hatte, wurde inzwischen das ITDZ Berlin aufgefordert, eine Realisierungsplanung und eine darauf basierende Kostenschätzung zu erstellen. Auf Basis der Realisierungsplanung sollen dann die erforderlichen Maßnahmen für die Jahre 2026/27 abgeleitet werden (Rote Nummer 0132, Bericht 034b, S. 68ff).

Nach allen Erfahrungen mit der Berliner Verwaltung wird es recht knapp die Frist zu schaffen! Und wie beim Update von Windows 10 auf Windows 11 sind die einzelnen Senatsverwaltungen und deren Fachverfahrensverantwortliche zuständig, die jeweiligen Fachverfahren und Software auf IPv6 umzustellen.

Die Umstellung ist nötig, weil IPv4 nur etwa 4,3 Milliarden eindeutige IP-Adressen unterstützt, während IPv6 praktisch unendlich viele Adressen bietet. Dies ist besonders wichtig, da der Bedarf an IP-Adressen mit der Zunahme von vernetzten Geräten und Anwendungen exponentiell steigt. Im Rahmen der Umstellung auf IPv6 werden unter anderem sicherheitsrelevante Themen diskutiert. Z. B. hat IPv6 Relevanz für die IT-Sicherheit in Bezug auf Authentifizierung und Verschlüsselung (also Integrität) die bei IPv6 vorgeschrieben sind. Jedes Gerät bekommt eine eigene und öffentliche IP-Adresse. Das wird dazu führen, dass bestimmte IT-Sicherheitsprobleme reduziert werden. Weiterhin erweitert IPv6 die Möglichkeiten zur Strukturierung und Netzsegmentierung.

Aktuelle IT-Sicherheitsvorfälle zeigen, wie verletzlich die Berliner Verwaltung in diesem Bereich noch ist. In meiner Anfrage habe ich daher den Senat zum Stand der Schulungen und Übungen befragt (Drucksache 19/23495). Zwar sind alle Behörden verpflichtet, ihre Beschäftigten jährlich zu schulen, doch der Senat verlässt sich darauf, dass dies geschieht – ohne Nachweise oder systematische Kontrolle. Ob die gesetzlichen Vorgaben tatsächlich eingehalten werden, bleibt damit offen.

Besonders wichtig sind praxisnahe Formate wie Live-Hacking-Veranstaltungen und regelmäßige Notfallübungen. Hier zeigt sich: 2023 gab es keine dokumentierten Veranstaltungen, 2024 nur zwei mit insgesamt 280 Teilnehmenden. Angesichts der Größe der Berliner Verwaltung ist das völlig unzureichend. Auch die Entwicklung eines landesweiten Awareness-Konzepts kommt nur langsam voran und befindet sich noch in Abstimmung.

Statt auf Selbstverpflichtungen zu vertrauen, braucht es endlich eine klare Überprüfung der Umsetzung und eine Ausweitung der Angebote. Nur so kann die Berliner Verwaltung aus den aktuellen Vorfällen die richtigen Konsequenzen ziehen und die digitale Sicherheit ihrer Beschäftigten wie auch der Bürger*innen dauerhaft gewährleisten.