Open Source im Bund: Warum das ITZBund auf offene Standards zielt

Der Einsatz quell­offener Software ist bei den deutschen Bundes­behörden und Ministerien bereits seit Längerem Thema. Die ver­änderte welt­politische Lage und neue Studien zur Ab­hängig­keit von einzelnen Her­stellern haben die Dis­kussion an­geheizt und auch für Ge­sprächs­stoff in den Kommunen gesorgt.

Souveränität wiedererlangen

Von Roland Freist

Abhängigkeiten sind derzeit wieder ein großes Thema in der Politik: etwa die Abhängigkeit von den Rohstoff­lieferungen einzelner Länder, der wirtschaftlichen Entwicklung bestimmter Schlüsselindustrien oder auch die Abhängigkeit von den Systemen eines einzigen Herstellers. Staaten streben daher ebenso wie Unternehmen nach einer Diversifikation, also einer Zusammenarbeit mit mehreren Partnern, um das Risiko, in eine Abhängigkeit zu geraten, zu verringern.

Das gilt auch für den Software-Bereich. Behörden setzen in der Regel auf ihren Arbeitsplätzen einheitlich die Anwendungen einzelner Hersteller ein. Zwar findet man darunter oftmals verschiedene Versionsnummern, doch das stellt im Allgemeinen kein Problem dar: Die Hersteller achten darauf, dass die einzelnen „Jahrgänge“ ihrer Produkte zueinander kompatibel sind. Das bedeutet unter anderem, dass die Dateiformate über einen längeren Zeitraum unverändert bleiben und sich auch später noch verlustfrei konvertieren lassen. Auch das Bedienkonzept, die Anordnung der Funktionen oder die Art der administrativen Verwaltung bleiben üblicherweise über mehrere Jahre gleich. Die Mitarbeiter benötigen in dieser Zeit also keine zusätzlichen Schulungen und können ihre gewohnten Arbeitsschritte durchführen. Sie erledigen ihre Aufgaben daher mit hoher Effizienz.

Ein Bund fürs Leben

Allerdings entsteht auf diese Weise auch eine zunehmende Abhängigkeit von einem Hersteller und dessen Produkten. Man spricht in diesem Fall von einem Vendor Lock-in: Die Abhängigkeit ist so groß, dass ein Wechsel zu einem anderen Produkt stark erschwert oder sogar unmöglich ist. Die Ursachen können technischer, finanzieller, aber auch psychologischer Natur sein.

  • In technischer Hinsicht entsteht ein Vendor Lock-in im Bereich der Software beispielsweise durch proprietäre Dateiformate, die von konkurrierenden Anwendungen entweder überhaupt nicht oder nur fehlerhaft geöffnet und erzeugt werden können. Fehlerhaft bedeutet in diesem Zusammenhang, dass etwa Formatierungen in Textdateien nicht übernommen bzw. so ausgeführt werden, dass sich der Text in einem anderen Programm mit einem anderen Layout präsentiert. Auch proprietäre Protokolle, die etwa im Netzwerkumfeld den Datenaustausch ausschließlich zwischen den Programmen eines Herstellers ermöglichen, gehören in diese Kategorie.
  • Eine finanzielle Abhängigkeit ist hingegen dann gegeben, wenn die Kosten für einen Wechsel zu einer konkurrierenden Software voraussichtlich wesentlich höher sind als die Lizenzkosten für das aktuell eingesetzte Produkt und kein zusätzlicher Nutzen erkennbar ist. Berücksichtigt werden muss dabei auch immer, dass in vielen Organisationen selbst geschriebene Makros und Skripte für häufig anfallende Arbeiten existieren, die sich oftmals nicht auf andere Produkte übertragen lassen.
  • Hinzu kommen dann noch psychologische Hindernisse, etwa durch Mitarbeiter, die nach Jahren der Gewöhnung an ein Produkt unwillig sind, sich in ein anderes Programm einzuarbeiten. Wiederholte Schulungen und mitunter lange Einführungsphasen sind nicht nur für die Anwender lästig, sondern können auch zu Produktivitätseinbußen führen und verursachen in jedem Fall vermeidbare Kosten.
ITKarriere 2020-01.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT & Karriere“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

In den vergangenen Jahren ist noch ein weiterer Aspekt in den Fokus von Politik und Öffentlichkeit geraten, nämlich der Datenschutz. Nach dem Aufkommen der vor allem von US-Unternehmen betriebenen, großen Cloud-Dienste und dem Erlass des Patriot Acts in den USA, der die Firmen zur Weitergabe der Daten auch von Kunden im Ausland an die US-Behörden verpflichtet, ist auch bei den deutschen Bundesbehörden ein starkes Misstrauen spürbar. Sorge bereitet vor allem der Gedanke, dass über die Clouds von Amazon, Microsoft, Google etc. geheime staatliche Daten und Dokumente ungehindert in andere Länder und vor allem die USA abfließen könnten.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Im Würgegriff von Microsoft

In den 80er und 90er Jahren wurde die Schaffung von freien, gut dokumentierten Standards propagiert, um einseitige Abhängigkeiten von Produkten und Herstellern zu vermeiden. Es zeigte sich jedoch, dass Unternehmen mit einer marktbeherrschenden Stellung diese Strategie unterlaufen konnten.

Das am häufigsten zitierte Beispiel in diesem Zusammenhang ist Microsoft, das im Kampf mit Netscape um die Vorherrschaft auf dem Browser-Markt mit seinem Internet Explorer sämtliche Internet-Standards unterstützte, die Software jedoch um die eigenen ActiveX-Controls erweiterte und diese Funktionalität dank seiner marktbeherrschenden Stellung zum neuen Standard erheben konnte. Da ActiveX nur unzureichend dokumentiert war, geriet der Netscape Navigator ins Hintertreffen und verschwand schließlich vom Markt. Diese Strategie wurde als „embrace, extend and extinguish“ (EEE) bekannt (annehmen, erweitern und auslöschen).

20190919 strategische marktanalyse-Software-Stack.jpg
PwC hat den Software-Stack des Bundes 2018 auf Abhängigkeiten untersucht. Im Fokus standen Bürosoftware, Serverbetriebssysteme und Desktop-Betriebssysteme – dort steht praktisch ausschließlich „Microsoft“. (Bild: PwC Strategy& GmbH)

Gute Gründe für Open Source

Wesentlich wirkungsvoller als das Vertrauen auf offene Standards hat sich in den vergangenen Jahren der Einsatz von Open-Source-Software, also quelloffener Software, als Mittel zur Vermeidung von Abhängigkeiten erwiesen. Die Lizenzregelungen dieser Programme sehen mehrheitlich vor, dass sie beliebig kopiert, verbreitet und genutzt werden dürfen. Darüber hinaus darf die Software auch verändert und in der veränderten Form weitergegeben werden. Da der Quelltext frei einsehbar ist, lässt er sich auch ohne großen Aufwand anpassen und weiterentwickeln. Diese veränderte Form der Software muss in der Regel laut Lizenzvereinbarung ebenfalls frei verfügbar gemacht werden.

Da auf diese Weise die Funktionalität nicht an ein Unternehmen oder einen Distributor gebunden ist, entsteht auch keine Abhängigkeit. Weil die Anwender jederzeit wechseln können, gibt es für die Entwickler zudem keinen Anreiz, proprietäre Datenformate oder Schnittstellen zu verwenden. Ganz im Gegenteil zeichnet sich Open-Source-Software dadurch aus, dass sie anerkannte, frei nutzbare Standards konsequent unterstützt und die Entwickler über die Communities in ständigem regen Austausch auch mit den Anwendern stehen.

20190919 strategische marktanalyse-schmerzpunkte.jpg
Schmerzpunkte und Abhängigkeitsfaktoren: „IT-Landschaft“ bedeutet, dass Microsoft ein Universum verschränkter Produkte geschaffen hat – wer eines einsetzt, braucht meist auch die anderen. Zum Punkt „Informationssicherheit“ gehört auch, dass der Quellcode nicht einsehbar ist. Die Kosten sind im Fall der Bundes-IT im Paket ausgehandelt und daher relativ kontrollierbar – solange sich Microsoft nicht auch hier mit Cloud-Abonnements durchsetzt. (Bild: PwC Strategy& GmbH)

Häufig werden auch die wegfallenden Lizenzkosten als Argument für den Ersatz kommerzieller durch Open-Source-Software genannt. Bei Kommunen und Bundesbehörden kommen dadurch nicht selten jährliche Ausgaben im Bereich von mehreren Millionen Euro zusammen. Ob jedoch der Einsatz von Open-Source-Software tatsächlich günstiger ist, darüber gehen die Meinungen auseinander. Tatsächlich hängen die Kosten von den jeweiligen Voraussetzungen ab. Bei der Stadtverwaltung München beispielsweise (siehe Kasten) stiegen die Kosten für Entwicklung und Support nach der Umstellung auf Open Source so stark an, dass die Stadt wieder zu kommerzieller Software zurückkehrte.

Zum Stand der Open-Source-Nutzung

Bei der deutschen Bundesregierung ist Open Source bereits seit längerer Zeit in etlichen Ministerien und Behörden im Einsatz. Mit dem Kompetenzzentrum Open Source Software (CC OSS), das beim Informationstechnikzentrum Bund (ITZBund) angesiedelt ist, hat die Bundesverwaltung eine zentrale Ansprechstelle für öffentliche Verwaltungen geschaffen, die sich über die Erfahrungen der Bundesbehörden mit dem Einsatz von Open-Source-Software informieren wollen. Auf seiner Website nennt das CC OSS auch gleich die beiden Argumente, die von Beteiligten an Open-Source-Projekten am häufigsten als Vorteile gegenüber kommerzieller Software genannt werden, nämlich die entfallenen Lizenzkosten sowie „den mit einer Veröffentlichung verbundenen Imagegewinn“.

Es entsteht allerdings der Eindruck, dass das CC OSS im Bund eher ein Schattendasein führt. Eine Anfrage der Internet-Plattform FragDenStaat im Januar 2019 ergab, dass das Kompetenzzentrum über keine eigenen Personalstellen verfügt, sondern von den Mitarbeitern des ITZBund geführt wird. In den zwölf Monaten zuvor habe es keine neuen Projekte unterstützt, Messeauftritte habe es nicht gegeben. Die eingehenden Anfragen bezögen sich in der Regel auf Rechtsfragen und den Erfahrungsaustausch im OSS-Kontext im Behördenumfeld. Eine weitere Nachfrage im April 2020, die u.a. wissen wollte, ob das Kompetenzzzentrum überhaupt noch existiert, wurde nicht beantwortet.

Frag-den-Staat.jpg
Die Open-Knowledge-Plattform FragDenStaat erleichtert, bündelt und publiziert Bürgeranfragen und die Antworten darauf – sofern es sie gibt – auf Basis der Informationsfreiheitsgesetze. (Bild: FragDenStaat)

Eine kleine Anfrage der Fraktion der Linken und mehrerer Abgeordneter anderer Parteien erbrachte tiefer gehende Einblicke, wie es tatsächlich um den Einsatz von Open-Source-Software beim Bund steht. Unter der Kennnummer 19/7845 findet man eine Drucksache, die in einer ausführlichen Antwort der Bundesregierung detailliert die bei den diversen Bundesbehörden und zum Bund gehörenden Einrichtungen eingesetzten Server-Betriebssysteme auflistet. Neben dem Microsoft Windows Server, Oracle Solaris und VMware tauchen dort mehrere Linux-Distributionen auf, vor allem von RedHat, Ubuntu und SUSE, dazu aber auch Debian, OpenBSD oder CentOS. Nahezu jede Bundesbehörde setzt auch und teilweise sogar ausschließlich auf diese Open-Source-Betriebssysteme.

Verhandlungsposition stärken

Interessant ist das Dokument aber noch aus anderen Gründen. So antwortet die Bundesregierung auf die Frage, wie sie oder die zuständigen Behörden einen Vendor Lock-in verhindern wolle, mit dem Hinweis auf die Architekturrichtlinie für die IT des Bundes aus dem Jahr 2018, in der eine „Sicherstellung der Herstellerunabhängigkeit“ gefordert wird. Dabei spiele die Verwendung von offenen, nicht proprietären Standards und Formaten eine wichtige Rolle, zudem würden Kollaborationsmodelle zwischen den Standardisierungsorganisationen und Open-Source-Initiativen geprüft.

Architekturrichtlinie it bund 2020.jpg

Update der Architekturrichtlinie
Am 31. Juli 2020 ist eine aktualisierte Fassung der Architekturrichtlinie für die IT des Bundes erschienen. Zu den übergreifenden Architekturvorgaben (ÜBAV) gehört als ÜBAV 09 auch die „Sicherstellung der Herstellerunabhängigkeit“. Dabei sollen, „soweit sinnvoll und wirtschaftlich, herstellerunabhängige/(quell-)offene Standards und Technologien“ genutzt werden. Das Dokument gibt es beim CIO Bund frei zum Download. (Bild: Der Beauftragte der Bundesregierung für Informationstechnik)

Etwas weiter unten geht das Dokument nach einer entsprechenden Frage auf die Strategien zur Senkung der Lizenzkosten ein. So bündele das Beschaffungsamt die Ausschreibungen für die Anschaffung von Software, um auf diese Weise die eigene Verhandlungsposition gerade gegenüber marktbeherrschenden Anbietern zu verbessern. Eine generelle Bevorzugung von Open-Source-Software in öffentlichen Ausschreibungen sei jedoch „vergaberechtlich nicht zulässig“. Stattdessen falle die Entscheidung aufgrund der Funktionalität, IT-Sicherheit, Interoperabilität, Usability, sowie des Realisierungs-, Ausbildungs- und Pflegeaufwands der Anwendungen, deren Anschaffung zudem auch wirtschaftlich sein müsse. Außerdem werde darauf geachtet, dass IT-Systeme anhand offener Schnittstellen beschafft und entwickelt werden.

Studie deckt Handlungsbedarf auf

Im August 2019 erschien unter dem Titel „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ eine Studie, welche die Strategieberatung PwC Strategy& im Auftrag des Bundesministeriums des Innern, für Bau und Heimat (BMI) zusammengestellt hatte. Die Analysten untersuchen darin die bestehenden Abhängigkeiten von Einrichtungen des Bundes von einzelnen Software-Unternehmen und zeigen Möglichkeiten auf, wie sich die digitale Souveränität wiederherstellen lassen könnte.

20190919 strategische marktanalyse.jpg

Abschlussbericht zum Herunterladen
Den Abschlussbericht zur vom BMI beauftragten PwC-Marktanalyse gibt es auf www.cio.bund.de zum freien Download. (Bild: PwC Strategy& GmbH)

Zu Anfang erfolgt eine Untersuchung der aktuellen Situation. PwC hat sich die im Rahmen der IT-K Bund (IT-Konsolidierung Bund) jährlich durchgeführte Untersuchung des Ist-Zustands bei zahlreichen Bundesbehörden vorgenommen und ermittelt, dass bei Bürosoftware, Arbeitsplatz- und Serverbetriebssystemen 96 % aller Behörden Microsoft Office und Windows sowie 69 % Windows Server verwenden. Bei Datenbanken und ERP-Systemen deuten Konditionsverträge und Lizenzausgaben der Bundesverwaltung zudem auf mögliche Abhängigkeiten von anderen Software-Anbietern hin, vor allem von Oracle und SAP.

Als weiteres Ergebnis halten die Autoren der Studie fest, dass sich die Abhängigkeit des Staates aufgrund der strategischen Ausrichtung von Microsoft und anderen Anbietern zukünftig noch zu verstärken droht. Drei Gründe seien dafür verantwortlich: Der konstante Ausbau des eigenen Ökosystems durch diese Anbieter, der fortschreitende Wechsel von On-premises- zu cloudbasierten Lösungen sowie das verstärkte Engagement der Software-Unternehmen bei der Entwicklung von Open-Source-Anwendungen.

PwC warnt im Weiteren davor, dass insbesondere die Abhängigkeit von Microsoft-Produkten zu einer eingeschränkten Informationssicherheit und rechtlichen Unsicherheit führe, vor allem was den Datenschutz betrifft. Zum Vierten empfiehlt die Studie, auf andere Lösungen zu setzen, um die Abhängigkeit von einem Hersteller zu verringern, und nennt in diesem Zusammenhang Open-Source-Lösungen.

Warum München bei der Umstellung auf Open Source gescheitert ist

Limux-tux-maskottchen.jpg

Die PwC-Studie geht in einem Exkurs auf S. 25 auch auf die Gründe ein, warum die Stadt­verwaltung München bei ihrem weltweit beobachteten Projekt zum Wechsel von Microsoft Windows und Office auf Linux und LibreOffice nicht erfolg­reich war. Die Analysten nennen in diesem Zusammen­hang zum einen den hohen Entwicklungs­aufwand sowie die mangelnde Wirt­schaftlich­keit. Da viele Fach­anwendungen nur auf Windows liefen, musste etwa ein Drittel der Anwender bei dem Microsoft-Betriebs­system bleiben, weshalb die IT der Stadt zwei Betriebs­systeme zu unterstützen hatte.

Die Kosten erhöhten sich zudem, da München mit einer stark angepassten Version von Ubuntu als Betriebssystem arbeitete, sodass kein Austausch mit einer Community stattfand. Das wiederum führte zu einem hohen internen Entwicklungsaufwand, der die Anstellung von zehn zusätzlichen Entwicklern erforderte. Hinzu kamen eine von den Mitarbeitern als sehr groß empfundene Funktionslücke zu den Microsoft-Produkten und eine mangelnde Akzeptanz der neuen Lösung. Zum Schluss waren auch sämtliche Kooperationspartner aus dem Projekt ausgestiegen, und es blieb nur noch die Stadtverwaltung als Anwender der Linux-Version übrig. Dadurch jedoch war die Lösung schließlich nicht mehr rentabel.

Die Ergebnisse der PwC-Studie führten Anfang 2020 zu einer kleinen Anfrage von Konstantin von Notz und einiger weiterer Abgeordneter von Bündnis 90/Die Grünen. Sie wollten unter anderem wissen, ob auch die Bundesregierung der Meinung ist, dass die Verringerung der Abhängigkeiten von einzelnen Herstellern/Staaten sinnvoll erscheint und der Bund vermehrt auf Eigenentwicklungen und Open-Source-Software setzen sollte. In der Drucksache 19/17166 antwortete die Bundesregierung im Februar 2020, dass auch ihrer Meinung nach Abhängigkeiten von Technologieanbietern, die zu kritischen Schmerzpunkten führen, reduziert werden sollten. Und:

„Die Bundesregierung setzt sich zum Ziel, dass zukünftige Softwarealternativen vorzugsweise, aber nicht zwingend, auf Open Source-Produkten basieren, mindestens jedoch auf offenen Standards und Schnittstellen.“
Serie: Open Source für Kommunen
Teil 1 betrachtet quelloffene Software aus der Perspektive der Beschaffer in Gemeinden, Städten und Kreisen, die sich sicherheitshalber an die EVB-IT halten wollen. Teil 2 gibt Kommunalentscheidern praktische Tipps für die Auswahl und Einführung von Open-Source-Software.

Deutsche Wolke im Aufbau

Die umfassende digitale Spionagetätigkeit von NSA, GCHQ und anderen Geheimdiensten sowie die Enthüllung des Umfangs der Bespitzelung durch Edward Snowden führte dazu, dass die Bundesregierung bei ihrer eigenen Verwaltung auf eine deutsche Cloud-Software setzte. Eine entsprechende Ausschreibung im April 2018 gewann das britische Unternehmen Computacenter, das wiederum die Stuttgarter Firma Nextcloud als Unterauftragnehmer einsetzte. Nextcloud ist eine Open-Source-Software, die den Aufbau von Private oder Public Clouds für den Datenaustausch ermöglicht.

Die „Bundescloud“ wird betrieben vom Informationstechnikzentrum Bund (ITZBund) und hat laut dessen Angaben rund 300.000 Nutzer in den verschiedenen Bundesbehörden. Wie die Bundesregierung im Juni 2019 auf eine kleine Anfrage der FDP (Drucksache 19/10826) erklärte, dient die Bundescloud „für die Bearbeitung von Verschlusssachen (VS) bis zum Geheimhaltungsgrad ‚VS – Nur für den Dienstgebrauch‘ (VS – NfD)“. Daher sei sie nur aus den VS-Netzwerken des Bundes erreichbar und nicht an das Internet angeschlossen.

Public Open Source

Open-Source-Software wird im Bund immer stärker als wirksames Mittel zum Abbau von Abhängigkeiten und für die Wahrung des Datenschutzes sowie ganz allgemein zur Wiedererlangung der digitalen Souveränität anerkannt. Dabei ist es hilfreich, dass es zahlreiche deutsche Hersteller von Open-Source-Produkten gibt, die vollwertige Alternativen zu den von US-Firmen dominierten Standardprodukten anbieten. Eine Umstellung auf breiter Front würde unter anderem natürlich auch den Bedarf an Fachpersonal – sowohl auf Entwicklerseite als auch im Anwendungsbereich – deutlich höher werden lassen. Neben digitaler Unabhängigkeit könnte Open Source in deutschen Amtsstuben also auch auf dem Jobmarkt eine weitere Belebung bedeuten.

Roland-Freist.jpg

Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikations­­wissenschaft ein Volontariat beim IWT Verlag in Vater­­stetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stell­­vertretenden Chef­­redakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computer­­zeitschriften und PR-Agenturen. Seine Spezial­­gebiete sind Security, Mobile, Internet-Technologien und Netz­­werke, mit Fokus auf Endanwender und KMU.


Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de

Nützliche Links