An die Mitglieder des IT-Planungsrates
Update: Bei der Sondersitzung des IT-Planungsrates am 27. Juni 2024 wurde kein Beschluss gefasst. Die Länder haben sich also nicht übereilt dazu drängen lassen, Zusagen abzugeben, dass sie die Delos-Cloud nutzen und dementsprechende Verträge abschließen werden. Die nächste reguläre Sitzung des IT-Planungsrates ist am 13. November 2024.
Sehr geehrte Damen und Herren,
es ist zu vernehmen, dass das Bundeskanzleramt derzeit massiven Druck auf die Länder ausübt, damit diese unverzüglich Cloud-Verträge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, abschließen. Auf einer Sondersitzung des IT-Planungsrates am Donnerstag, den 27. Juni 2024, soll dazu ein Beschluss gefasst werden.
Während weiterhin starke datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Bedenken gegen den Einsatz der Delos-Cloud bestehen und die Föderale IT-Kooperation (FITKO) im Hintergrund an einem Umsetzungsprojekt für die Deutsche Verwaltungscloud arbeitet, sollen hier offenbar schnell Fakten geschaffen werden, nach denen es dann kein Zurück mehr gibt. Das ist hoch problematisch und steht im krassen Gegensatz zu dem, wofür die Bundesregierung angetreten ist.
Datenschutzrechtliche Bedenken
Seit Jahren bestehen datenschutzrechtliche Bedenken gegen die Nutzung von Microsoft Cloud-Services durch die öffentliche Verwaltung. Denn das US-amerikanische Recht kann US-amerikanische Unternehmen zur Herausgabe von persönlichen Daten zwingen. Daran ändert bisher weder das “EU-US Data Privacy Framework” etwas – auch als “Angemessenheitsbeschluss” bekannt, noch der Versuch, über die Gründung von deutschen Tochterunternehmen wie Delos die Bedenken zu zerstreuen. Denn Delos verwendet letztlich Microsoft-Software. Die eingesetzte Software und die Schnittstellen sind weder offen noch unabhängig überprüfbar. Daher bleibt immer die Gefahr bestehen, dass z.B. über Wartungsschnittstellen, Telemetrieerfassung o.ä. persönliche Daten abfließen könnten oder Zugriff auf diese Daten von außen möglich ist – ohne dass die Verwaltung davon etwas mitbekommt.
Diese datenschutzrechtlichen Bedenken spiegeln sich unter anderem in dem Beschluss der Datenschutzkonferenz der Länder wieder, demzufolge Microsoft bisher keinen Nachweis darüber erbringen konnte, dass Microsoft 365 datenschutzrechtskonform betrieben werden kann. Auch eine Untersuchung der wissenschaftlichen Dienste des Bundestages hat im Januar 2024 diese datenschutzrechtlichen Probleme noch einmal dargelegt. Der EU-Datenschutzbeauftragte hat im März 2024 sein Urteil verkündet, dass die EU-Kommission Microsoft 365 rechtswidrig genutzt und die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt hat. Er hat der EU-Kommission auferlegt, alle Datentransfers bis Dezember 2024 auszusetzen.
Die öffentliche Verwaltung ist gezwungen, sich auf die Versprechen von Microsoft zu verlassen, was Datenschutz und IT-Sicherheit angeht. Aber der Quellcode kann nicht unabhängig überprüft werden um sicherzustellen, dass keine Hintertüren oder Zugriffsmöglichkeiten bestehen. Es kann somit nie sicher ausgeschlossen werden, dass ein Zugriff auf die persönlichen Daten der deutschen Bürgerinnen und Bürger und andere schützenswerte Daten der Verwaltung möglich ist – das geht eben nur bei einem konsequenten Einsatz von Open Source Software.
Gerade erst vergangene Woche musste Microsoft schottischen Sicherheitsbehörden gegenüber zugeben, dass sie nicht garantieren können, dass sensible Daten auch wirklich in Großbritannien bleiben. Das Versprechen der Datensouveränität von Microsoft ist damit nichts als dünne Luft. Es wirkt vor diesem Hintergrund absurd, dass bei der Sondersitzung des IT-Planungsrates “ein gemeinsames Bekenntnis zur Notwendigkeit einer auch unter Souveränitätsaspekten tragfähigen Delos-Lösung” herbeigeführt werden soll, nachdem aus so vielen unterschiedlichen Richtungen auf die beträchtlichen Souveränitätsmängel von Microsoft 365 verwiesen wurde. Der IT-Planungsrat verschließt vor den ungelösten Problemen die Augen und versucht sich die Delos-Cloud souveräner zu reden, als sie ist.
Sicherheitstechnische Bedenken
So zahlreich wie die Datenschutzbedenken sind auch die schwerwiegenden Sicherheitsvorfälle bei Microsoft, die immer wieder bekannt werden. Sicherheitslücken sind in der Welt der Softwareentwicklung an sich nicht ungewöhnlich, aber Microsoft wird in diesem Zusammenhang immer wieder für den schlampigen Umgang mit seinen Sicherheitsvorkehrungen und für die mangelhafte Transparenz bei der Aufarbeitung der Vorfälle kritisiert.
So wurde beispielsweise im April 2024 bekannt, dass Mitarbeitende “versehentlich sensiblen Code, Anmeldedaten und weitere interne Daten des Konzerns über einen öffentlich zugänglichen Azure-Server freigaben, der nicht durch Kennwörter geschützt war. Die entdeckten Daten wurden erst einen Monat nach einer Sicherheitswarnung entfernt.“ Im Zuge eines Cyberangriffs im Februar 2024 durch mutmaßlich russische Hacker auf die E-Mail-Konten mehrerer hochrangiger Microsoft-Führungskräfte erklärte Microsoft, “dass sie es versäumt haben, bewährte Praktiken für alle ihre Systeme – neue und alte – zu standardisieren, was einen Angriff wie diesen hätte verhindern können“.
Besonders aufsehenerregend war zuletzt der Diebstahl eines Master-Keys für Azure im Sommer 2023. Die US-amerikanische Bundesbehörde für die Sicherheit von IT und kritischer Infrastruktur CISA hat Microsoft in diesem Zusammenhang ein vielfaches Versagen bei der Cybersicherheit vorgeworfen und “empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind.“ Es ist nicht nachvollziehbar, dass das Bundeskanzleramt ausgerechnet jetzt die Länder dazu drängt, kritische Prozesse der öffentlichen Verwaltung in die Cloud von Microsoft zu verlagern.
Strategische Bedenken
Betrachtet man den Sachverhalt auf einer vergaberechtlichen Ebene, muss man festhalten, dass es überhaupt keine rechtskonforme Grundlage dafür gibt, die Länder so überhastet in Cloud-Verträge mit Delos zu drängen. Hier wird versucht, Inhalte in bestehende Rahmenverträge hinein zu prügeln, wofür diese Rahmenverträge überhaupt nicht gedacht waren.
Auch auf einer übergeordneten Ebene ist das ein strategischer Fehler: Jetzt soll über die unzähligen rechtlichen und sicherheitstechnischen Probleme schnell hinweg gesehen werden, damit die Verträge abgeschlossen werden können – die US-Amerikaner sind ja unsere Verbündeten, was soll da schon passieren? Aber mit diesem Schritt würde sich Deutschland in eine noch fatalere Abhängigkeit von der Microsoft-IT begeben, als es bei der Abhängigkeit vom russischen Gas der Fall war und aus der wir uns gerade erst mühevoll befreit haben. Die politischen Verhältnisse und Bündnisse können sich schnell ändern, beispielsweise bei den Präsidentschaftswahlen in den USA im November. Und eine komplexe Cloud-Lösung mit vielen Schnittstellen und technischen Abhängigkeiten lässt sich nicht so einfach austauschen wie ein Gaslieferant.
Wirklich souveräne Lösungen sind verfügbar
Der hektische Schritt in die Delos-Cloud wäre zum einen mal wieder ein erheblicher Nachteil für die europäische Wirtschaft, denn so wird verhindert, dass hierzulande weiter und im notwendigen Maß in gute Alternativen investiert wird, dass Kompetenz aufgebaut und die Gestaltungsfähigkeit unserer Verwaltung und unserer Wirtschaft gesichert wird. Zum anderen ist dieser Schritt überhaupt nicht nötig, weil wirklich souveräne Alternativen bereits verfügbar sind. Das ITZ Bund beispielsweise hat gerade eine Vergabe zum Aufbau einer echten Private Cloud erfolgreich mit IONOS abgeschlossen. Das Unternehmen Schwarz IT, das digital souveräne Cloud-Infrastrukturen für den deutschen Einzelhandel entwickelt, baut sein Angebot immer weiter aus. Auch Unternehmen wie die Deutsche Telekom, Plusserver oder Secunet mit Syseleven (um nur einige Beispiele zu nennen) entwickeln hochsichere und wettbewerbsfähige Lösungen. All diese Unternehmen werden durch die jetzige Initiative des Kanzleramts ohne guten Grund ausgebremst.
Außerdem wird mit dem Sovereign Cloud Stack (SCS) in immer mehr privaten und öffentlichen Rechenzentren eine Open-Source-Cloud genutzt, deren Entwicklung die Bundesregierung selbst gefördert hat. Bund und Länder haben sich zudem in einer gemeinsamen Absichtserklärung zum Aufbau einer Alternative zur Microsoft-Arbeitsplatzumgebung bekannt, um bestehende Abhängigkeiten von einzelnen Anbietern zu verringern: Das Projekt OpenDesk ist bereits in einer ersten Version nutzbar und eine Ausschreibung zur Weiterentwicklung läuft gerade.
Warum werden diese souveränen Open-Source-Lösungen in dem Moment, wo sie anfangen, Schwungkraft zu entwickeln und erfolgreich zu werden, auf das Abstellgleis geschoben, damit eine so problembehaftete Microsoft-Lösung wie die Delos-Cloud zum Zug kommen kann?
Der Koalitionsvertrag wird ignoriert
Ein Beschluss bei der Sondersitzung des IT-Planungsrates am Donnerstag wäre nicht zuletzt der Beweis, dass die im Koalitionsvertrag vereinbarten Ziele und Absichten das Papier nicht wert sind, auf dem diese geschrieben wurden.
Die Bundesregierung hat sich bei ihrem Start verpflichtet, für öffentliche IT-Projekte offene Standards festzulegen. Entwicklungsaufträge sollen grundsätzlich als Open Source beauftragt und die entsprechende Software öffentlich gemacht werden. Im Koalitionsvertrag heißt es: “Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.“ Das Vorgehen des Kanzleramtes und der Vorstoß im IT-Planungsrat haben damit wirklich gar nichts mehr zu tun.
Vor diesem Hintergrund appellieren wir dringend an die Mitglieder des IT-Planungsrates, keinen Beschluss für einen flächendeckenden Einsatz der Delos-Cloud in Bund und Ländern zu fassen, sondern stattdessen weiter in den Aufbau und die Entwicklung von digital souveränen Lösungen auf der Basis von Open Source Software zu investieren.
Als Open Source Business Alliance stehen wir jederzeit mit unserer Expertise für einen Austausch sowie Beratungen zur Verfügung.
Mit freundlichen Grüßen
Peter Ganten
Vorstandsvorsitzender der Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
Pressemitteilung als PDF
Über die Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
Die Open Source Business Alliance (OSBA) vertritt über 220 Mitgliedsunternehmen der Open Source Wirtschaft, die in Deutschland rund 95.000 Mitarbeiterinnen und Mitarbeiter beschäftigen und einen Jahresumsatz von über 126,8 Mrd. Euro erwirtschaften. Zusammen mit unseren wissenschaftlichen Einrichtungen und Anwenderorganisationen setzen wir uns dafür ein, die zentrale Bedeutung von Open Source Software und offenen Standards für eine digital souveräne Gesellschaft nachhaltig im öffentlichen Bewusstsein zu verankern. Dieser digitale Wandel soll Unternehmen, Regierungen, Behörden und Bürgern gleichermaßen zugutekommen. Wir treten dafür ein, Open Source als Standard in der öffentlichen Beschaffung und bei der Forschungs- und Wirtschaftsförderung zu etablieren. Um unsere Ziele zu verwirklichen, stehen wir Unternehmen, Privatpersonen, Medien und der Politik als Experten und Ansprechpartner zur Verfügung.
Kontakt:
Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
Pariser Platz 6a
10117 Berlin
Fon: +49 30 / 300149 – 3377
Fax: +49 30 / 300149 – 3030
E-Mail: info@osb-alliance.com
Internet: https://www.osb-alliance.com
