Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Digitale Souveränität: Wie Deutschland sich von US-Software löst

Nach Rekordbeteiligung an der EU-Konsultation treibt der Bund Open Source und souveräne Clouds voran – der Weg ist lang.
/ Ein Bericht von Erich Moechel
41 Kommentare News folgen (öffnet im neuen Fenster)
Deutschland will raus aus der digitalen Abhängigkeit von den USA. (Bild: Hinotoriko)
Deutschland will raus aus der digitalen Abhängigkeit von den USA. Bild: Hinotoriko / Pixabay License

Die öffentliche Konsultation der EU-Kommission zu Open-Source-Software ist am 3. Februar mit einem rekordverdächtigen Ergebnis zu Ende gegangen: 1.658 teils umfangreiche Stellungnahmen(öffnet im neuen Fenster) gingen ein. Die Palette reicht von Unternehmen wie Mercedes-Benz über die Deutsche Industrie- und Handelskammer bis zu Mittelstands- und Einpersonenfirmen sowie Linux-User-Groups. Die Konsultation sollte die Entscheidungsgrundlage für den Einsatz freier Software in den EU-Institutionen liefern – und dieses Ziel wurde definitiv erreicht.

Mittlerweile untersucht auch eine Kommission des deutschen Bundestags, wie die Abhängigkeit von proprietärer US-Software reduziert werden kann. Das wird von immer mehr Institutionen als strategisches Dilemma wahrgenommen. Deswegen wurde im Bundesministerium für Digitalisierung und Staatsmodernisierung (BMDS) sowie im Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Stand der Dinge in Deutschland nachgefragt.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Die Opendesk-Pilotprojekte 2026

Auf Bundesebene ist man schon etwas über den Status von Untersuchungen hinaus. "Mit Opendesk wurde vom Bund erstmals eine vollständig auf Open Source basierende IT-Arbeitsplatz-Suite konzipiert und entwickelt", heißt es im Antwortschreiben des BMDS. Die freie Software Opendesk (hier im Golem-Test) bündelt Dokumentenbearbeitung, Cloudspeicher, Groupware, Wiki und Projektmanagement in einer webbasierten Oberfläche. Adaptiert wurde die Kollaborationssoftware im Zentrum für Digitale Souveränität der öffentlichen Verwaltung (Zendis).

Derzeit wird Opendesk laut BMDS dort an 60 Arbeitsplätzen getestet(öffnet im neuen Fenster), die Software soll aber im Lauf des Jahres auch in weiteren Bundes- und Landesbehörden pilotiert werden, etwa im Robert-Koch-Institut oder bei der Physikalisch-Technischen Bundesanstalt. Parallel dazu werde Opendesk weiterentwickelt, um weitere Rollouts in der Bundesverwaltung zu ermöglichen.

Die in Schleswig-Holstein gewonnenen Erkenntnisse zur Einsatzfähigkeit und Nutzerakzeptanz würden bei den Planungen berücksichtigt, so das BMDS. Das kleine Bundesland im Norden ist bekanntlich mit großem Abstand Vorreiter im Einsatz von Open-Source-Software(öffnet im neuen Fenster).

Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Bild 1/3: Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Bild 2/3: Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)
Bild 3/3: Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)

Mit Kollaborationssoftware beginnt es

In Österreich wiederum wird die von der deutschen Ionos entwickelte Nextcloud für annähernd dieselben Funktionen eingesetzt. Die Stoßrichtungen gehen also in Deutschland und Österreich in dieselbe Richtung. Im ersten Schritt werden Microsoft Sharepoint ganz und einzelne Funktionen von Microsoft Exchange durch freie Kollaborations-Softwares abgelöst.

Viel mehr Konkretes zu einzelnen Applikationen konnte dem BMDS noch nicht entlockt werden. Außer vielleicht, dass im Bereich Virtualisierung neben dem Marktführer VMware bereits weitere Anwendungen im Einsatz sind.

Da es in diesem Bereich nur eine überschaubare Zahl von Lösungen gibt, sollten darunter mit einiger Wahrscheinlichkeit die Open-Source-Lösungen Openstack oder die in Österreich entwickelte Applikation Proxmox sein. Für den Bereich Cloud-Computing wurden wir vom BMDS an das Bundesamt für Sicherheit in der Informationstechnik verwiesen.

Die Doppelstrategie des BSI

Auch im Bereich Cloud-Computing scheint die Zeit vorbei, in der die Daten deutscher Behörden einfach en bloc entweder in die AWS-Cloud von Amazon oder in Microsofts Azure geschoben wurden. Um hier nicht von den Innovationen abgehängt zu werden, zugleich aber mehr Souveränität zu erreichen, solle "erstens der europäische Markt und die hiesige Digitalindustrie gestärkt werden. Außereuropäische Produkte müssen wiederum so angepasst und eingebettet werden, dass eine sichere Nutzung möglich wird", heißt es dazu aus dem BSI.

Priorität hat für das BSI dabei die Möglichkeit, Cloudanbieter schnell und einfach wechseln zu können. Das soll durch einheitliche Sicherheits- und Interoperabilitätsstandards gelingen. "Das BSI unterhält daher Kooperationsvereinbarungen sowohl mit europäischen als auch mit außereuropäischen Anbietern". Diese Kooperations-Agreements betreffen die Rahmenbedingungen, Vergabe- oder Implementierungsentscheidungen sind das nicht, wie das BSI in seinem Schreiben betont.

Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Bild 1/3: Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Bild 2/3: Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)
Bild 3/3: Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)

Ionos und Schwarz Digits

Das BSI kooperiert bereits mit der deutschen Ionos, einem der größten europäischen Cloudbetreiber. Unter anderem "unterstützt Ionos die Bundesverwaltung beim Aufbau einer Private-Enterprise-Cloud-Umgebung".

Mit Ionos arbeitet das BSI auch dabei zusammen, "um kritische Daten der öffentlichen Verwaltung schon heute so zu schützen, dass sie auch gegenüber künftigen Entschlüsselungstechnologien resilient bleiben". Es geht bei dieser Kooperation mit Ionos also um sogenannte quantum-secure encryption. Von diesem Unternehmen aus Rheinland-Pfalz stammt auch die Nextcloud-Lösung, die beim Umstieg österreichischer Ministerien auf Open-Source-Lösungen eine zentrale Rolle spielt.

Des Weiteren stehen das BSI und Schwarz Digits, ein Cloud-Provider aus Baden-Württemberg, kurz vor dem Abschluss einer strategischen Kooperationsvereinbarung(öffnet im neuen Fenster). Genaueres dazu werde im Rahmen der Münchner Sicherheitskonferenz bekanntgegeben, so das BSI. Nicht wirklich überraschend ist das Ziel dieser Kooperation "die gemeinsame Entwicklung souveräner Cloudlösungen für den Einsatz in der Bundesverwaltung".

Das Dilemma US Cloud Act

Diese Maßnahmen allein genügen freilich nicht, um die hochgradige Abhängigkeit von den US-Clouds in absehbarer Zeit entscheidend zu verringern. Nicht einmal die erste Amtszeit Donald Trumps, in der sich die Feindseligkeit gegenüber der Europäischen Union bereits abzeichnete, hatte zu einem Erkenntnisprozess in Europa geführt. Dabei hatten die USA mit dem Cloud Act die Europäer, die damals mit der Trump-Administration darüber verhandeln wollten, im Jahr 2018 regelrecht überfahren(öffnet im neuen Fenster).

Und dieses Gesetz sieht seither vor, dass die US-Behörden Zugriff auf sämtliche Daten haben, die in den Clouds von Amazon, Google oder Microsoft gespeichert werden. Und zwar ganz unabhängig davon, wo sich diese Datensätze physisch befinden. Für europäische Behörden wie das BSI, die für die Datensicherheit verantwortlich sind, ist das natürlich ein Dilemma.

Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Bild 1/3: Oberste Priorität hat für die Mercedes-Benz AG die Unterstützung der diversen Open-Source-Entwicklergruppen. Das ist doch einigermaßen überraschend, zumal die deutsche Autoindustrie eher für proprietäre Patente und weniger für freie Software bekannt ist (Hervorhebung durch den Autor). (Screenshot: Erich Moechel)
Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Bild 2/3: Auch in der Stellungnahmen der Deutschen Industrie- und Handelskammer finden sich dieselben Prioritäten wie im Statement der Mercedes-Benz AG. Man sorgt sich angesichts der zumeist eher lose bis informell organisierten Developer um Nachhaltigkeit in der Entwicklung freier Software. (Screenshot: Erich Moechel)
Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)
Bild 3/3: Der Stellungnahme von Heinlein, einem zufällig ausgewählten deutschen IT-Unternehmen, ist zu entnehmen, was das österreichische Bundesheer auf Anfrage von Golem nicht verraten wollte. Das Bundesheer hat anstelle von Microsoft Teams, Cisco Webex oder Zoom nun das freie Opentalk implementiert. (Screenshot: Erich Moechel)

Troubleshooting in der Cloud

Wie aus dem Antwortschreiben des BSI hervorgeht, ist man sich dieser Problematik durchaus bewusst und hat bereits erste Maßnahmen gesetzt, um Zugriffe zu erschweren. Derzeit werden "sogenannte Kontrollschichten eingezogen", die Zugriffe Dritter auf Datensätze in der Cloud unmöglich machen sollen. Eine "Sicherheitsarchitektur einschließlich Verschlüsselung und externem Schlüsselmanagement kann den Klartextzugriff durch den Cloud Service Provider selbst unterbinden", heißt es dazu vom BSI.

Wenn der Cloud-Provider keinen Zugriff auf die Schlüssel hat, gehen solche Anordnungen von US-Behörden naturgemäß ins Leere. Und deshalb arbeitet das BSI mit Amazon daran, die AWS-Infrastruktur im EU-Raum "physisch wie auch logisch von der globalen AWS-Infrastruktur abzukoppeln".

Das ist keine triviale Angelegenheit, denn das beinhaltet "die Prüfung eingehender Steuerungsbefehle und Cloud Updates, die Unterbindung ausgehender Telemetriedaten sowie den Betrieb durch EU-Personal".

Die Rechnung mit dem 'Kill Switch'

Die Auflage des BSI, dass diese europäische AWS-Instanz von Personal aus Europa betrieben werden muss, macht deutlich, wie weit das Misstrauen gegenüber den US-Behörden bereits gediehen ist. Es soll nämlich nicht nur verhindert werden, "dass Nutzerdaten aus dem EU-Raum abfließen", sondern die Auflagen dienen auch dazu, "auszuschließen, dass eine externe Steuerung oder auch Abschaltung der Instanz vorgenommen werden kann". Bemerkenswerterweise verwendet das BSI in diesem Zusammenhang den Begriff "Kill Switch".

Zur Umsetzung dieser Sicherungsmaßnahmen und "um Open-Source-Produkte zu stärken und strategisch weiterzuentwickeln", wurde im BSI ein Open Source Program Office (OSPO) gegründet(öffnet im neuen Fenster), auch "um bestehende Defizite bei der Verwendung von Open Source zu beheben". Schließlich handle es sich dabei "nicht nur um kostenlos nutzbare Software, sondern um Produkte, mit deren Nutzung auch Verantwortlichkeiten einhergehen, etwa mit Blick auf den Produkt-Lebenszyklus".

Brüssel wird die Botschaft hören

Diese Aussage des BSI ist annähernd deckungsgleich mit den Forderungen, die sich quer durch die Stellungnahmen der beteiligten Firmen und Institutionen(öffnet im neuen Fenster) ziehen. Für erfolgreiche Arbeit und Nachhaltigkeit der Produkte von Open-Source-Entwicklergruppen braucht es sowohl finanzielle als auch organisatorische Unterstützung. Viel klarer könnte die Botschaft an die EU-Kommission nicht formuliert sein, und es ist anzunehmen, dass sie in Brüssel nicht nur gehört, sondern als Auftrag angenommen wird.

Annähernd zeitgleich zum Finale der EU-Konsultation ging die zweite Serie des Digital Independence Day(öffnet im neuen Fenster) in Deutschland über die Bühne. Diese vom Chaos Computer Club angestoßene Initiative, bei der versierte User die weniger versierten beim Umstieg auf freie Software unterstützen, ist dabei, alle Erwartungen zu übertreffen. Inzwischen sind um die 200 Organisationen daran beteiligt, wegen der große Nachfrage finden die DI-Day-Veranstaltungen nicht mehr nur am ersten Sonntag, sondern über den ganzen Monat statt.

Hinweis in eigener Sache

Golem organisiert eine neue Konferenz zu IT-Souveränität! Die Rack & Stack(öffnet im neuen Fenster) findet im April statt – Tickets gibt es hier(öffnet im neuen Fenster).

Zur Startseite 41 Kommentare

Relevante Themen

SouveränitätOpen SourceSoftwareCloud ComputingPolitikDatenschutzSecurity