Herausgeber:
Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.

Unterzeichner:
Peter Ganten, Vorstandsvorsitzender der OSB Alliance
Rafael Laguna de la Vera, Direktor der Bundesagentur für Sprunginnovationen SPRIND
Adriana Groh, Director Prototype Fund bei Open Knowledge Foundation
Lothar Becker, Vorstandsvorsitzender der Document Foundation
Ann Cathrin Riedel, Vorsitzende des Load e.V.
Julia Kloiber, Managing Director von Superrr Lab
Marina Weisband, Co-Vorsitzende D64 – Zentrum für Digitalen Fortschritt e.V.

Download als PDF-Dokument

Um den dynamischen Anforderungen an die Digitalisierung nachzukommen, müssen Staat und Verwaltung den Wechsel zu einem „Cloud first“-Modell umsetzen. Das bedeutet, sie müssen Produktion und Bereitstellung von Informationstechnologie konsolidieren, in wenigen Rechenzentren zentralisieren und sich in die Lage versetzen, von Dritten produzierte Leistungen zu verwenden. Dazu sind mehrere Strategien denkbar, wobei im Hinblick auf Themen wie das Onlinezugangsgesetz (OZG) sehr kurzfristig notwendige Entscheidungen zu treffen sowie umzusetzen sind.

Ausbau der kritischen Microsoft-Abhängigkeit

Im Bereich der in der Verwaltung heute nahezu flächendeckend eingesetzten Bürosoftware besteht zusätzlicher Druck durch den Umstand, dass Microsoft angekündigt hat, die bisher von der Verwaltung genutzte und lokal betriebene Software des Unternehmens ab Ende 2025 nicht mehr zu unterstützen und an Stelle dessen ausschließlich Cloud-basierte Bereitstellungsmodelle anzubieten. Zwangsläufige Folge ist, dass die von Bund, Ländern und Kommunen genutzte Software für Büroarbeit und Kommunikation zukünftig nicht mehr von den Verwaltungen selbst bzw. von ihren Dienstleistern bereitgestellt und betrieben werden kann. Fortan müssten an Stelle dessen die hinsichtlich Datenflüssen (Telemetrie) und Datenschutz höchst bedenklichen Cloud-Angebote von Microsoft genutzt werden.

Da die Möglichkeit des Zugriffs auf Daten durch den Betreiber bei Cloud-Angeboten technisch nicht ausgeschlossen werden kann und somit auch die Daten der deutschen Verwaltung für Microsoft und US-amerikanische Sicherheitsbehörden (Stichwort CLOUD-Act) zugänglich wären, ist für die deutsche Verwaltung eine Lösung im Gespräch, bei der ein hiesiges Privatunternehmen entsprechende Rechenzentren betreiben und die damit produzierten Angebote gegenüber der Verwaltung abrechnen würden. In Bezug auf die dazu eingesetzte Software und ggf. auch in Bezug auf Hardware sowie Personal (oder Ausbildung dessen) mit notwendigem Know-how wäre dieses Unternehmen jedoch vollständig von Microsoft abhängig.

Das selbe gilt auch für vergleichbare Konzepte etwa von Google oder Amazon, bei denen deutsche Unternehmen als Betreiber proprietärer Cloud-Software der entsprechenden Hyperscaler auftreten. Auch kann bei solchen Modellen auf Grund des für die Verwaltung, unabhängige Dritte und Zivilgesellschaft intransparenten Softwarecodes nicht ausgeschlossen werden, dass über die kontinuierlich von Microsoft oder anderem Anbieter zur Verfügung gestellten Aktualisierungen und Fehlerkorrekturen Hintertüren eingeführt werden, die einen ungewollten Zugriff ermöglichen, sofern sie nicht sowieso a priori vorliegen. Ein sogenannter „Air-Gap“ ist immer nur für kurze Zeit möglich, da dieser die Softwarewartung und damit die Gewährleistung der Informationssicherheit unterbricht.

Insbesondere wegen der praktisch monopolartigen Position von Microsoft bei den Büroarbeitsplätzen hätte die Realisierung einer Microsoft-Cloud für die deutsche Verwaltung erheblichen Einfluss auf das ganze Ökosystem der Digitalisierung in Europa. Sie würde ohne die Definition angemessener Regeln und Rahmenbedingungen die Festlegung nicht nur des Bundes, sondern auch von Ländern und Kommunen auf die Cloud-Angebote von Microsoft und die dahinterstehende, ausschließlich von Microsoft kontrollierte Technologie, bedeuten. So müssten insbesondere die in der Verwaltung verwendeten Fachverfahren die proprietären Programmierschnittstellen und Funktionen der Microsoft-Cloud-Angebote nutzen. Ein Festhalten an offenen und von einer breiten Community gesetzten Standards wäre in diesem Fall praktisch nicht mehr möglich, weil das gleichbedeutend mit dem Verlust von Interoperabilität zum gesamten Ökosystem staatlicher IT-Verfahren und dem Bruch mit Nutzergewohnheiten wäre.

Es entstünde eine gewaltige, unüberwindbare Abhängigkeit zu Microsoft,

die staatliche Akteure zwingen würde:

  1.  nahezu jeden aufgerufenen Preis zu bezahlen
  2.  zukünftig auch auf ursprünglich durchgesetzte Zugeständnisse in Bezug auf Datensicherheit und Unabhängigkeit von amerikanischen Behörden verzichten zu müssen
  3.  nicht-offene, proprietäre von Microsoft gesetzte Standards zu akzeptieren, an denen sich ggf. andere (EU-)Staaten und große Teile der Wirtschaft ausrichten müssten

Dies erklärt auch, warum Microsoft derzeit bereit zu sein scheint, die initialen Investitionen für entsprechende Rechenzentren einer solchen „souveränen“ Cloud zu großen Teilen selbst zu übernehmen.

Sackgasse für europäische Wirtschaft in den Sektoren IT und Digitalisierung

Eine so manifestierte massive technologische Abhängigkeit hätte zur Folge, dass kontinuierlich erhebliche finanzielle Mittel an Microsoft und ausschließlich auf Microsoft-Standards entwickelnde Anbieter flössen, die dem europäischen Digitalisierungs-Ökosystem dauerhaft entzogen werden. Die Wettbewerbsfähigkeit europäischer Anbieter wäre also auf zweierlei Weise negativ beeinflusst. Zum einen durch die Abhängigkeit von nicht-kontrollierbaren De-Facto-Standards, für deren Nutzung es weder technologisch noch wirtschaftlich dauerhaft Sicherheit gäbe und zum anderen durch unzureichende Finanzierung und Nachfrage von alternativen Angeboten. Investitionen in europäische Cloud-Angebote, insbesondere für Staat, Forschung und Verwaltung, würden dadurch dauerhaft unattraktiv bleiben und Monopolstellungen sich dauerhaft verfestigen.

Risiken für die digitale Daseinsvorsorge Europas

Zuletzt sei auch auf die Gefahr der einseitigen Aufkündigung der Vertragsverhältnisse durch Microsoft hingewiesen. Eine Ausrichtung der staatlichen IT-Infrastruktur auf einen einzelnen Lizenzpartner hätte in diesem Fall zur Folge, dass essentielle staatliche Aufgaben nicht mehr wahrgenommen werden können und die Daseinsvorsorge der Bürgerinnen und Bürger gefährdet ist. Eine Beendigung der Versorgung mit aktuellen Sicherheitspatches wäre eine eklatante Gefahr für die Sicherheit und Integrität staatlicher Informationstechnik. Der dann nachgelagerte Umzug auf eine alternative Lösung würde auf Grund der zuvor beschriebenen Abhängigkeiten zu proprietären Schnittstellen immense Folgekosten und Umschulungsbedarf mit sich ziehen. Mit den Exportbeschränkungen von Google Play-Apps in Drittländer und der von Microsoft einseitig aufgekündigten Azure Deutschland Cloud existieren bereits zwei konkrete Beispiele, die dieses Szenario real erscheinen lassen.

Open Source-basierte Alternativen als eigenbestimmte Handlungsoption: Sprunginnovation für ein europäisches IT- und Digital-Ökosystem

Die zentrale Alternative zum nahezu ausschließlichen Einsatz von Microsoft-basierter Cloud-Technologie in der öffentlichen Verwaltung ist der strategische Einsatz von Open Source Software, also die Nutzung und Weiterentwicklung bereits vorhandener und mit Millionen von Benutzern erprobter Open-Source-Lösungen für die öffentliche Verwaltung. Diese Alternative bietet das Potential, eine offene Plattform entstehen zu lassen, die Initiativen wie Gaia-X nachhaltig ergänzt. Europäische Cloud- und Softwareanbieter könnten auf Basis der entsprechenden offenen Technologien und gestärkt durch wichtige staatliche Schlüsselkunden international erfolgreiche Angebote schaffen. Durch hervorragende Benutzbarkeit und Funktionalität, Kontrollierbarkeit von Datenzugriffen und Sicherheit sowie der vollständigen Gestaltungsfähigkeit der Angebote selbst kann so ein weltweit in Verwaltungen und Industrie vorhandener Schlüsselbedarf erfüllt würden.

Neben vielen erfolgreichen Beispielen für die Nutzung von Open Source Software-in Industrie und Verwaltung (z.B. Gendarmerie France), gibt es insbesondere mit dem Phoenix-Projekt von Dataport auch in Deutschland bereits eine Initiative in diese Richtung, die schon erhebliche Fortschritte erzielt hat und derzeit in einigen Verwaltungen in Betrieb genommen wird.

Weiterhin zeigen Studien klar den ökonomischen Nutzen eines Investments in europäische Open Source Software: ein Investment in die Entwicklung von OSS bringt den vierfachen Nutzen für das europäische Bruttoinlandsprodukt (siehe „The impact of Open Source Software and Hardware on technological independence, competitiveness and innovation in the EU economy“ im Auftrag der Europäischen Kommission, September 2021). Mit gezielten Investitionen ist eine Sprunginnovation zur Herstellung eines chancengleichen Anbietermarktes für europäische IT- und Digital-Ökosysteme und -Plattformen denkbar.

Erfolgreiche Open Source Software wird von internationalen Communities weiterentwickelt. Diese bestehen in der Regel aus Mitarbeitenden von Unternehmen und anderen Organisationen, die diese Software industriell nutzen. Anwenderorganisationen können sich heute entscheiden, ob sie selbst Vertreter in diese Communities entsenden wollen oder ob sie aus einer großen Zahl von Dienstleistern wählen, die ihre Interessen dort vertreten. Dem Staat wäre zu empfehlen, in Institutionen wie dem geplanten Zentrum für Digitale Souveränität ausreichend Kompetenz zur Mitarbeit in entsprechenden Gemeinschaften aufzubauen, damit er entsprechende Dienstleister kompetent steuern kann.

Zusammenfassung und Handlungsempfehlungen

  • Nur vollständig Open Source basierte Angebote erzeugen technologische Souveränität in ausreichendem Maße, besonders für die Implementierung und Abwicklung staatssouveräner Aufgaben und kritischer Industrieanwendungen.
  • Open-Source-Cloud-Anwendungs- und Infrastruktur-Alternativen zu den Angeboten der sogenannten Hyperscaler haben großes Sprunginnovationspotential. Sie können die Grundlage einer nachhaltigen europäischen Digitalwirtschaft werden.
  • Deshalb muss mit gezielter staatlicher Beauftragung das Open-Source-Ökosystem initial gestärkt werden, um privatwirtschaftliche Investitionen und die lokalen Anbieter zu aktivieren.
  • Jede Investition in Open Source steht sofort der Allgemeinheit zur Verfügung und kommt somit auch der deutschen Wirtschaft und Zivilgesellschaft zugute.
  • Eine Kooperation mit Microsoft (oder jedem beliebigen proprietären Angebot) zum Aufbau einer „souveränen“ Cloud steht diesen Zielen entgegen. Durch die einseitige Abhängigkeit droht eine hohe Erpressbarkeit von Staat und Gesellschaft.
  • Digitale Abhängigkeit beginnt bereits bei der IT-Infrastruktur. Ein späterer Wechsel der Cloud-Plattform birgt hohe, für viele Organisationen unüberwindbare, Kosten und Aufwände. Der Staat muss heute bereits die Weichen für eine souveräne und offene Cloud stellen.

Anhang: Hartnäckige, in der öffentlichen Hand verbreitete Vorurteile gegen Open Source Software

Gegen den Einsatz von Open Source Software gibt es auch auf Grund einiger fehlgeschlagener Projekte der öffentlichen Hand eine Reihe von hartnäckigen Vorurteilen. Zu diesen Vorurteilen gehört, dass Open Source Software nicht dem Stand der Technik entsprechen würde, teilweise schwer zu benutzen sei und das Management der entsprechenden Communities schwierig wäre. Tatsache ist jedoch, dass alle Organisationen, die die Digitalisierung sehr erfolgreich für sich nutzen konnten, darunter in erster Linie die großen, marktbeherrschenden Cloud-Anbieter wie Google, Facebook oder Amazon nahezu ausschließlich auf Open Source Software setzen und die eigenen proprietären Angebote darauf aufgebaut haben. Eine Liste der gescheiterten Großprojekten mit proprietärer Software wäre übrigens sehr lang.
Es ist deswegen nicht übertrieben zu sagen, dass das gesamte Internet und der überwiegende Teil von Cloud-Angeboten mit Open Source Software realisiert wurden. Diese Technologien haben sich als sicher erwiesen, obwohl sie potentiellen Angreifern – wie jede Technologie – direkt ausgesetzt sind. Open Source Technologien haben ihre Nutzer außerdem sehr erfolgreich gemacht, weil sie sich durch eine riesige Entwicklergemeinschaft sehr schnell an neue Anforderungen anpassen ließen und nur so das hohe Innovationstempo der Digitalisierung überhaupt realisiert werden konnte. Ein einzelnes Unternehmen kann niemals die Bandbreite einer offenen Community zentraler Open Source Projekte erbringen.

Auch wenn Open Source Software bisher die größten Erfolge im Bereich von Server- und Cloud-Software zur Bereitstellung von Internetdiensten erzielt hat, gibt es bereits jetzt für Millionen von Benutzern weltweit eingesetzte Cloud-Software für Endanwender als Open Source Software, etwa im Bereich von Mail, Groupware, Kommunikation und Videokonferenzen, für das Speichern und Teilen von Daten in der Cloud, die gemeinsame Bearbeitung von Texten, Tabellen oder Präsentationen und nicht zuletzt auch im Bereich von Lernmanagementsystemen. Auf dieser breit vorhandenen Basis kann nun aufgebaut werden, um entsprechende Systeme für die öffentliche Verwaltung zu realisieren. Dafür werden zwar auch Weiterentwicklungen und Anpassungen in signifikantem Umfang notwendig sein, die Kosten werden aber schon nach kurzer Zeit weit unter den Lizenzkosten für entsprechende Microsoft-Technologien liegen. Vor allem aber werden so entwickelte Technologien auch außerhalb der öffentlichen Hand in Deutschland einsetz- und vertreibbar sein, so dass die dauerhaften Weiterentwicklungskosten auf eine sehr breite Anwenderbasis verteilt werden können. Das öffentliche Geld fließt damit vollständig in öffentliches Gemeingut.