Coming soon ... IT Summit by heise

Digitale Souveränität: Wie die Verwaltung den Windows-Entzug schafft

Der Bundes­innen­minister hat die digitale Souveränität zum Schwer­punkt­thema erklärt. Den Aus­schlag für diesen Ent­schluss gab eine PwC-Markt­analyse, die vor allem mit dem Öko­system von Micro­soft hart ins Gericht geht – und Vor­schläge macht, wie sich die Ver­waltung aus der Ab­hängig­keit befreien könnte.

Verwaltungen in der IT-Suchtberatung

Von Niklas Mühleis und Eduard Heilmayr

Parallel zur 5G-Frequenzauktion im Frühjahr 2019 rückte die Abhängigkeit von einzelnen IKT-Ausrüstern deutlich ins Blickfeld der Öffentlichkeit: US-Präsident Donald Trump verbot per Dekret Geschäfte mit dem chinesischen 5G-Technologiespezialisten Huawei und drängt Europa dazu, ähnliche Maßnahmen zu treffen. Hintergrund ist in diesem Fall der Verdacht, dass die chinesische Führung über Huawei Spionagezugriff auf die durch 5G-Installationen laufenden Daten habe. Huawei ist jedoch keineswegs der einzige Anbieter, der Behörden und Verwaltungen Kopfschmerzen bereitet.

Abhängig von China und den USA

Auch bei der öffentlichen Anhörung im Ausschuss Digitale Agenda am 11. Dezember 2019 ging es um „IT-Sicherheit von Hard- und Software als Voraussetzung für digitale Souveränität“. Um die ist es nicht sonderlich gut bestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeichnet in seiner Stellungnahme ein nüchternes Bild der Lage:

„Es kann insgesamt festgestellt werden, dass große Abhängigkeiten von den USA (besonders im Softwarebereich) und von China (besonders im Hardwarebereich) in Deutschland und Europa bestehen. Betroffen sind alle Bereiche der Gesellschaft, auch z.B. kritische Infrastrukturen. Einige Schlüsselindustrien für IT-Produkte sind in Europa nur noch in äußerst eingeschränktem Maße vorhanden. Bezüglich fast aller strategisch wichtigen IT-Komponenten, wie z.B. Prozessortechnologien, leistungsfähigen IT-Netzkomponenten, Mobilfunkgeräten/Smartphones ist Europa von Zulieferern außerhalb der EU abhängig.“

Sicherheitsrisiken sieht das BSI u.a. dort, „wo einzelne Anbieter eine Monopolstellung innehaben“. Präsident Arne Schönbohm bezog sich dabei auch auf eine Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern vom August des Jahres, die der Bundesinnenminister bei PwC in Auftrag gegeben hatte, nicht zuletzt mit Blick auf das bereits heftig kritisierte Projekt „IT-Konsolidierung Bund“.

20190919 strategische marktanalyse.jpg

Abschlussbericht zum Herunterladen
Den Abschlussbericht zur vom BMI beauftragten PwC-Marktanalyse gibt es auf www.cio.bund.de zum freien Download. (Bild: PwC Strategy& GmbH)

Das Ergebnispapier nimmt vor allem Microsoft genau in den Blick. Eine aktuelle Problematik sieht die Studie unter anderem darin, dass die deutsche Verwaltung sich zum großen Teil bei ihren Betriebssystemen (Arbeitsplatzrechner und Server) sowie bei der Standardsoftware, etwa bei Mail- und Office-Programmen, allein auf den US-amerikanischen Konzern verlässt. Weil Microsoft stark auf Cloud Computing setzt und daher die meisten Microsoft-Anwendungen cloudbasiert betrieben werden, landen auch die Daten der deutschen Verwaltung in den Microsoft-Rechenzentren in den USA. Wo es konkret um die unter Windows erfassten Telemetriedaten geht, kann sich die Studie wiederum auf eine entsprechende BSI-Analyse berufen.

Im Fokus: Schmerzen mit Microsoft

Ein solcher Datenabfluss ist unter anderem aufgrund der EU-DSGVO ein Problem, da in Drittländern bekanntermaßen andere Zugriffsmöglichkeiten des Staates auf personenbezogene Daten herrschen. Selbst Microsoft-Rechenzentren am Standort Deutschland helfen dabei wenig. „Denn nach dem Cloud Act können U.S.-Rechtsverfolgungsbehörden einen Durchsuchungsbeschluss auch dann erlassen, wenn die von einem U.S.-Unternehmen kontrollierten, zu durchsuchenden Server sich selbst nicht in den USA befinden“, betont PwC. Auch das BSI warnt mit Bezug auf die Studie in seiner Stellungnahme ausdrücklich vor einer „Nutzung von Cloud-Services ohne geeignete Exit-Strategie“.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Hinzu kommt, dass große Anbieter „weitverzweigte Ökosysteme mit eigenen Kernlösungen im Zentrum“ anstreben. Bei Microsoft geschieht das unter anderem mit dem Programm ScaleUp, das dazu gedacht ist, Start-ups „in das Microsoft-Azure-Ökosystem zu integrieren und die Vorreiterstellung von Microsoft Azure als innovative Cloud für den Enterprise-Bereich stetig auszubauen“, wie es im Programm zum Microsoft Innovation Summit for Government 2019 hieß. Dass innovative Start-ups auch auf eigene Faust sehr Sinnvolles für Kommunalverwaltungen zu bieten haben, zeigt etwa das Beispiel des Objektverwaltungssystems von EineStadt – dafür wurde Michael Lodes auf der KOMMUNALE 2019 sogar mit dem IT-Willy als Kommunaler IT-Profi ausgezeichnet.

Die heftigsten „Schmerzpunkte“ aufseiten der Verwaltung sieht die Analyse folgerichtig in der eingeschränkten Informationssicherheit und der rechtlichen Unsicherheit. Abhängigkeiten bestehen aber auch beim Personal, da viele Anwender private Nutzer von Microsoft-Produkten und seit Jahren in den entsprechenden Anwendungen geschult sind. „Der Umstieg auf andere Software würde einen erheblichen Schulungsaufwand und einen Bedarf für Änderungsmanagement mit sich bringen“, konstatieren die Autoren.

Digitale Souveränität und Open Source

Die Zwischenbilanz der Analyse fällt so aus:

„In letzter Konsequenz gefährden diese Schmerzpunkte die digitale Souveränität der Bundesverwaltung. Ohne korrigierende Maßnahmen wird diese kritische Situation auch über 2025 hinaus, u. a. durch die Aktivitäten der IT-K Bund, bestehen bleiben.“

Das Bundesministerium des Inneren hat die PwC-Studie daher zum Anlass genommen, die digitale Souveränität der Verwaltung zum Schwerpunktthema zu erklären. Der Abhängigkeit solle die Bundesverwaltung in Zukunft

„durch Anforderungen an die Nutzungsbedingungen von Software, aber auch durch die konkrete Produkt- und Lieferantenauswahl begegnen. Dabei wird der Einsatz von Open-Source-Lösungen eine wesentliche Rolle spielen.“

Auf offene Ohren stößt dieser Entschluss nicht nur in den Open-Source-Communities, sondern zum Beispiel auch bei Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister Vitako. Der DATABUND wiederum positioniert sich grundsätzlich gegen Monopolisierungstendenzen. Die Autoren der PwC-Studie schlagen aufgrund der Betrachtung vergleichbarer Vorhaben eine Kombination verschiedener Strategien vor, um die Verwaltung aus dieser Abhängigkeit zu lösen. Unter anderem werden die Ablösung von bekannter Software durch Alternativen sowie der Einsatz von Open-Source-Produkten vorgeschlagen. Eine konkrete Maßnahme besteht schlicht im Verhandeln – das kann sinnvoll sein, muss es aber nicht, wie das Beispiel der mittlerweile wieder eingestellten Microsoft Cloud Deutschland zeigt.

Über allem aber steht eine Frage des politischen Willens, nämlich dann, wenn es darum geht, die (rechtlichen) Rahmenbedingungen zu schaffen, die Verwaltungen wie einzelnen Bürgern den Schritt in die relative Unabhängigkeit erleichtern. Open-Source-Lösungen, namentlich Linux, kommen im Backend bereits regelmäßig zum Einsatz, stoßen am Arbeitsplatzrechner allerdings ebenso regelmäßig auf Widerstand aufseiten der Microsoft-gewohnten Nutzer. Das Beispiel München (LiMux) hat gezeigt, dass die Akzeptanz der Anwender ein entscheidender Erfolgsfaktor ist. Hinzu kommt, dass es bei den großen Softwareschmieden längst zur Ökosystemstrategie gehört, sich aktiv als Entwickler an Open-Source-Projekten zu beteiligen.

Gleichwohl ist quelloffene Software auch aus Sicherheitsaspekten ein Königsweg aus dem Vendor Lock-in, den zum Beispiel das Land Schleswig-Holstein beschreitet. Als wünschenswerte Entwicklung nennen die PwC-Autoren darum einen „Kulturwandel bei Entwicklung und Einsatz von Software“. Das BSI steht Open-Source-Strategien vor dem Ausschuss Digitale Agenda prinzipiell positiv gegenüber, sieht für die Praxis aber eine große Hürde: den Bedarf an gut ausgebildeten Mitarbeitern, die die nötigen Anpassungen an der OS-Standardsoftware programmieren.

Niklas-Muehleis.jpg

Dipl.-Jur. Niklas Mühleis, LL.M., ist bei der Heise-Kanzlei Heidrich Rechtsanwälte in Hannover tätig, spezialisiert auf IT- und IP-Recht sowie Fachautor, u.a. für c’t.


Heidrich Rechtsanwälte, Vahrenwalder Straße 255, 30179 Hannover, Tel.: 0511-37498150, muehleis@recht-im-internet.de, www.recht-im-internet.de

KITK-Heilmayr.jpg

Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.

Nützliche Links