Statement der OSB Alliance – Bundesverband für Digitale Souveränität e.V. zur Nutzung von Videokonferenz-Lösungen und damit verbundenen Chancen und Risiken
Die durch die Corona-Pandemie ausgelöste Krise hat dazu geführt, dass sich eine große Chance für die Digitalisierung bietet: In noch nie dagewesenem Ausmaß setzen Menschen auf digitale Lösungen – um vom Homeoffice aus Arbeitsprozesse zu organisieren, um Schülerinnen und Schüler zu unterrichten, aber auch im privaten Bereich, um mit Familie und Freunden in Kontakt zu bleiben. So sammeln sie ganz neue Erfahrungen, es wird ausprobiert, getestet, es werden Anforderungen formuliert. Dabei wird gerade in der aktuellen Phase auf verschiedenste Angebote und Werkzeuge zurückgegriffen. Diese beinhalten unterschiedliche – auf den ersten Blick nicht unbedingt erkennbare – Eigenschaften, Chancen und Risiken. Sowohl in Bezug auf die Technik, aber zum Beispiel auch auf die Sicherheit, mögliche Abhängigkeiten und die Art und Weise, wie Daten verarbeitet werden.
Am Markt ist eine Vielzahl unterschiedlicher Lösungen verfügbar. Darunter sind Angebote, bei denen die Funktionsweise nicht geprüft und nach Sicherheitslücken nicht von unabhängiger Seite gesucht werden kann, aber auch Open Source Angebote, die sich zunehmend erfolgreich behaupten. Und es gibt Angebote, bei denen die eingesetzte Software ausschließlich auf Servern unter der Kontrolle des jeweiligen Anbieters, oft in den USA betrieben wird und solche, bei denen der Betrieb auch im eigenen Rechenzentrum erfolgen kann. Grundsätzlich ist das Vorhandensein einer solchen Auswahl als positiv zu bewerten.
Entscheider in öffentlicher Verwaltung, im Schul- und Bildungssystem und in Unternehmen müssen sich jedoch über die wesentlichen Unterschiede bewusst sein, damit eine kurzfristig als attraktiv erscheinende Produktwahl die betreffende Organisation nicht mittelfristig in eine nachteilige Position bringt, etwa weil die Sicherheit nicht überprüft, Daten nicht DSVGO-konform gespeichert werden oder Abhängigkeiten entstehen, die weitreichende Konsequenzen auch für andere Teile der IT-Infrastruktur haben. Deswegen sollten insbesondere die folgende Punkte bei der Produktauswahl Beachtung finden:
Gefahr von neuen Abhängigkeiten
Momentan weisen Videokonferenzlösungen noch wenige Verknüpfungen zu anderen Bestandteilen von Kommunikations- und Bürolösungen auf, insbesondere, was die Art, wie Anwender sie einsetzen, angeht. Das bedeutet, sie sind derzeit noch leicht austauschbar, es kommt ohne weiteres vor, dass man für drei verschiedene Konferenzen drei unterschiedliche Lösungen verwendet. Zukünftig wird sich der Markt jedoch so verändern, dass Software für Videokonferenzen immer stärker in Groupware, Dokumentenbearbeitung und Fachverfahren integriert und so umfassende Kollaborations- und Kommunikationslösungen entstehen. Dadurch werden schon bestehende Abhängigkeiten verstärkt oder neue Abhängigkeiten geschaffen. Wenn es sich um Lösungen handelt, die nicht auch auf eigenen Servern betreibbar und im Quellcode nicht überprüf- und anpassbar sind, werden diese Abhängigkeiten oft schwer auflösbar und Verbleib und Verwendung der bei der Benutzung entstehenden Daten unkontrollierbar. Ein einfacher Wechsel zu Videokonferenz-Anwendungen, die digitale Souveränität ermöglichen, ist mit solchen Lösungen nicht mehr ohne weiteres machbar.
Flexibilität durch Offenheit
Deshalb ist es umso wichtiger, auch beim Videoconferencing frühestmöglich auf Lösungen zu setzen, die offen sind, auf eigenen Servern oder bei frei wählbaren Cloud-Anbietern installiert und miteinander föderiert werden können. Entsprechende Lösung haben in den Monaten der Krise erheblichen Zulauf gefunden und sich bestens bewährt. Solche Produkte ermöglichen auch schnelle, unkomplizierte Skalierung, da die Software nicht von spezifischen Cloud-Anbietern abhängig ist. Die Corona-Krise hat gezeigt, wie wichtig das in kurzer Zeit werden kann. Durch den Betrieb der gleichen Software bei unterschiedlichen Betreibern sind Ausfälle einzelner Systeme zudem weniger schwerwiegend, was zu einer höheren Resilienz führt.
Sicherheit und Kontrolle
Nicht zuletzt das Beispiel Zoom hat gezeigt, dass es bei proprietärer Software immer wieder möglich ist, Behauptungen in Bezug auf Sicherheitseigenschaften zu machen, die nur mit hohem Aufwand nachprüfbar sind. Auch deswegen ist der Einsatz von Open Source Software für vertrauenswürdige Kommunikation entscheidend, denn nur Open Source Code garantiert Nachprüfbarkeit und Kontrolle, um mögliche Risiken schneller zu entdecken und diese – notfalls unabhängig vom Hersteller – zu beheben.
Chancen nutzen und Fehler schnell korrigieren
Die derzeitige Situation ist außergewöhnlich und schwierig. Es ist daher nachvollziehbar, dass einige Organisationen in einer aktuell zu Maßnahmen greifen, die sie im Normalfall nicht ergriffen hätten. Dies betrifft auch den Bereich der Videokonferenzen. In vielen Fällen wurden sehr schnell sofort verfügbare und mit geringem Aufwand implementierbare Lösungen eingeführt, ohne die genannten Punkte zu berücksichtigen. Ein pragmatischer Ansatz, der aber oft zur Folge hat, dass das Kriterium der digitalen Souveränität außer acht gelassen und dadurch eine Art „digitaler Schuld“ aus Kompromissen aufgebaut wird.
Mit demselben Pragmatismus, der zunächst schnelle Lösungen herbeiführte, müssen deswegen nun in Staat und Bildungssystem, genauso wie zumindest in solchen Unternehmen, die kritische Infrastrukturen bereit stellen, Produkte eingesetzt werden, die digitale Souveränität sicher stellen. Dazu braucht es nicht zuletzt ein klares Bekenntnis von Staat und Verwaltung zu Open Source Software, unterlegt von entsprechendem Handeln.
Ein umfangreiches Angebot an Open Source Lösungen ist bereits vorhanden und viele Forschungseinrichtungen, Universitäten, Schulen und Behörden haben damit sehr positive Erfahrungen gesammelt. Darauf gilt es nun aufzusetzen und diese Entwicklung gemeinsam erfolgreich voran zu treiben.
Zitate vom Vorstandsvorsitzenden Peter H. Ganten zur Nutzung von Videokonferenz-Lösungen und den damit verbundenen Chancen und Risiken:
„Am Markt ist eine Vielzahl unterschiedlicher Videokonferenz-Lösungen verfügbar. Darunter sind Angebote, bei denen die Funktionsweise nicht geprüft und nach Sicherheitslücken nicht von unabhängiger Seite gesucht werden kann, aber auch Open Source Angebote, die sich zunehmend erfolgreich behaupten.“
„Entscheider in öffentlicher Verwaltung, im Schul- und Bildungssystem und in Unternehmen müssen sich über die wesentlichen Unterschiede bei den Videokonferenz-Lösungen bewusst sein, damit eine kurzfristig als attraktiv erscheinende Produktwahl die betreffende Organisation nicht mittelfristig in eine nachteilige Position bringt, etwa weil die Sicherheit nicht überprüft, Daten nicht DSVGO-konform gespeichert werden oder Abhängigkeiten entstehen, die weitreichende Konsequenzen auch für andere Teile der IT-Infrastruktur haben.“
„Um digitale Souveränität zu ermöglichen, ist es immens wichtig, auch beim Videoconferencing frühestmöglich auf Lösungen zu setzen, die offen sind, auf eigenen Servern oder bei frei wählbaren Cloud-Anbietern installiert und miteinander föderiert werden können. Entsprechende Lösung haben in den Monaten der Krise erheblichen Zulauf gefunden und sich bestens gut bewährt.“
„Nicht zuletzt das Beispiel Zoom hat gezeigt, dass es bei proprietärer Software immer wieder möglich ist, Behauptungen in Bezug auf Sicherheitseigenschaften zu machen, die nur mit hohem Aufwand nachprüfbar sind. Auch deswegen ist der Einsatz von Open Source Software für vertrauenswürdige Kommunikation entscheidend, denn nur Open Source Code garantiert Nachprüfbarkeit und Kontrolle, um mögliche Risiken schneller zu entdecken und diese – notfalls unabhängig vom Hersteller – zu beheben.“
„Ein umfangreiches Angebot an Open Source Videokonferenz-Lösungen ist bereits vorhanden und viele Forschungseinrichtungen, Universitäten, Schulen und Behörden haben damit sehr positive Erfahrungen gesammelt. Darauf gilt es nun aufzusetzen und diese Entwicklung gemeinsam erfolgreich voran zu treiben.“
Die Stellungnahme des Verbands als herunterladbares Dokument finden Sie hier.
