Pressemitteilung: Kleine Anfrage offenbart Souveränitätsrisiken bei Clouds im Bund

, , , , , , , , , , ,

Zusammenfassung:

  • Bund verdoppelt Ausgaben für Cloud von 2021 bis 2024 auf 286 Mio €
  • Der Open Source Anteil der Clouds ist mit 2 Prozent extrem niedrig, bei Cloud-Entwicklungskosten beträgt er 5,8 Prozent, beim Cloud-Betrieb nur 0,1 Prozent. Sicherheitsbehörden überraschen als Open Source Vorreiter.
  • Die Netze des Bundes sind nicht Cloud-fähig, ihr Ersatz erfolgt unzureichend koordiniert
  • Sicherheitsrisiko: 32 Cloud-Dienste von Hyperscalern genutzt – nur ein einziger mit Ende zu Ende Verschlüsselung
  • Cloud Service Portal der Deutschen Verwaltungscloud: 40 Dienstleistungen von 11 Cloud Anbietern verfügbar – das ITZ Bund ist wegen rechtlicher Hürden nicht beteiligt
  • Das notwendige Lagebild „Digitale Souveränität“ erfordert bessere Datenlage
  • Bundesregierung korrigiert eigene Position: Nur veröffentlichter Code ist Open Source

Pressemitteilung

In einem Koaltions-Verhandlungspapier der AG Digital kommt das Thema Digitale Souveränität auch im Zusammenhang mit der Nutzung von Clouds für die Verwaltung vor, ohne dass Kriterien für die erwähnten „souveränen Standards“ beschrieben werden. Wie groß die Herausforderung beim Gang der Bundesverwaltung in die Cloud gerade mit Blick auf die Digitale Souveränität ist, deckt eine aktuelle Kleine Anfrage der LINKEN im Bundestag auf. Dazu erklärt die Digitalexpertin der LINKEN, Anke Domscheit-Berg:

„In wenigen Jahren haben sich die Ausgaben des Bundes für Clouds auf 286 Mio € in 2024 verdoppelt. Neben dem ITZ Bund und dem Auswärtigen Amt fällt vor allem das BMI mit hohen Ausgaben für Cloud Dienste auf, die durch das BKA und die sogenannte „Hackerbehörde“ ZITIS genutzt werden. Für 2024 und 2025 stehen allein für ZITIS 28 Mio € Haushaltsmittel zur Verfügung. Ausgaben für Nachrichtendienste fehlen aus Geheimschutzgründen, für das Militär gibt es ohne Begründung keine Angaben. Insgesamt sind die Daten unvollständig und damit ungenügend für das dringend notwendige Lagebild Digitale Souveränität. Die neue Koalition kündigt eine wirkungsorientierte Politik an und will eine bessere Datenverfügbarkeit – damit kann sie im Bund selbst anfangen, weil mit mangelnder Datenqualität und Intransparenz keine wirkungsorientierte Politik möglich sein wird.

Auch ohne Lagebild ist offensichtlich: das digitale Souveränitätsdefizit des Bundes ist enorm, auch im Bereich Cloud. Auf Open Source entfallen nur zwei Prozent der Cloud-Ausgaben, davon der Löwenanteil im Bereich Cloud Anwendungsentwicklung. Bei den Betriebsausgaben für Cloud beträgt der Anteil proprietärer Software sogar 99,9 Prozent. Bei der Entwicklung von Open Source für die Cloud sind die Sicherheitsbehörden ZITIS und BKA Vorreiter und belegen damit, dass Open Source Software zu mehr Sicherheit beitragen kann und der Ansatz „Security by Obscurity“ Unfug ist. Beim Cloud Stack ist ZITIS leider die einzige Behörde, die Open Source entwickeln ließ, bei Cloud Anwendungen entfallen auf ZITIS und BKA über 80 Prozent der Ausgaben für OSS-Entwicklungen. Laut ihrer Antwort hofft die amtierende Bundesregierung, dass eine „soll“ Vorschrift im eGovernment Gesetz zu mehr Open Source Beschaffung führen wird. Dieser Glaube ist naiv. Wer Wirkungsorientierung möchte, braucht klare und messbare Ziele, wie ein 50% Open Source Anteil bis 2029, den die SPD in Koalitionsverhandlungen fordert.

Erschreckend ist der Umstand, dass die hoffnungslos veralteten und unsicheren Netze des Bundes für die Deutsche Verwaltungscloud nicht nutzbar sind, aber auch bei der Architekturplanung für den Ersatz durch das neue Netz, den „Informationsverbund der Verwaltung“, die Kompatibilität mit dem geplanten Peering-Netzwerk der Deutschen Verwaltungscloud nicht mitgeplant wurde und jetzt erst überprüft wird. Wie ein so schwerwiegender, strategischer Fehler passieren konnte, diese beiden wichtigen Architekturvorhaben nicht zusammen zu denken, den Ersatz der Netze des Bundes und den Gang des Bundes in die Cloud, ist mir ein absolutes Rätsel. Außerdem fehlen aktuelle Leitlinien für Entscheidungen zur Nutzung von Cloud-Diensten, die es braucht für die Einhaltung hoher Sicherheitsstandards und zur Vermeidung teurer und riskanter Fehlentscheidungen. Solche Governancedefizite gefährden die Digitalisierung des Bundes.

Immerhin ist inzwischen das Cloud Service Portal der Deutschen Verwaltungscloud verfügbar und hat 40 Dienstleistungen von 11 Dienstleistern im Angebot. Eine sinnvolle Priorisierung der verfügbaren Dienstleistungen fehlt offenbar, drei dieser 40 Dienstleistungen haben irgendwie mit Hunden zu tun. Kritische Dienstleistungen befinden sich dagegen noch in Prüfung, mit unklarem Zeithorizont und unklarem Ausgang. Dazu gehören u.a. die OZG Cloud, der Bundesmessenger und der Open Source Arbeitsplatz OpenDesk, der bisher wenigstens schon über private und wirklich souveräne Anbieter (STACKIT GmbH und IONOS SE) in der Cloud verfügbar ist. Gänzlich fehlen aber Angebote des ITZ-Bund, das aus rechtlichen Gründen seine Dienstleistungen nicht einmal in der Deutschen Verwaltungscloud anbieten kann, diese Hürde muss die neue Bundesregierung schnellstmöglich beseitigen!

Noch nutzt der Bund überwiegend tatsächlich souveräne Clouds, aber ein für Hyperscaler offener Multi-Cloud Ansatz und das Festhalten an der auf Microsoft Azure basierenden DELOS-Cloud, lassen eine Verschiebung befürchten. Mindestens 32 Cloud Dienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden jetzt schon vom Bund genutzt, aber nur bei einem einzigen (AWS-Software VAULT Storage) genutzt von der Bundespolizei, stellt eine Ende zu Ende Verschlüsselung sicher, dass eine Entschlüsselung von Meta- und Nutzerdaten ausschließlich auf den Endgeräten der Nutzenden möglich ist. Bei jeglichen sensiblen Daten darf der Bund derartige Dienste nicht nutzen, da man sich jetzt noch weniger auf die Vertrauenswürdigkeit von US-Hyperscalern verlassen kann, seit Präsident Trump Europa mit diversen Drohungen unter Druck setzt. Wenn wir nicht erpressbar sein wollen, muss die neue Bundesregierung die Digitale Souveränität mit höchster Priorität behandeln, ein Kanzler Merz muss sie zur Chefsache machen. So kann er mehr zur Sicherheit unseres Landes beitragen, als mit fragwürdigen Sicherheitspaketen.“

Anhang:

Kontakt:

Anke Domscheit-Berg: Anke+presse@domscheit-berg.de

/von

Pressemitteilung: Schwarz-Rot muss Bremse der Ampel bei Digitaler Souveränität lösen

, , , , , , , , , , ,

Zur Antwort der Bundesregierung auf eine Kleine Anfrage der Linken und zum öffentlich gewordenen Verhandlungsstand der Schwarz-Roten Koalition zur Digitalen Souveränität Deutschlands erklärt Anke Domscheit-Berg, bisherige digitalpolitische Sprecherin der Linksfraktion im Bundestag:

„Die Antworten der Bundesregierung auf meine Kleine Anfrage offenbaren, dass die Ampel ihr Ziel, die Digitale Souveränität zu stärken und vor allem bei Open Source große Fortschritte zu erzielen, weit verfehlte: gerade einmal jede 5. beauftragte Software-Entwicklung war tatsächlich Open Source, veröffentlicht wurden sogar nur 7,6 Prozent von 968 Fällen Software-Entwicklung. Die neue Bundesregierung könnte schnell bei der immer dringender werdenden Digitalen Souveränität Erfolge erreichen, wenn sie genau dort weitermacht, wo die scheidende Bundesregierung bei der konsequenten Umsetzung guter Ideen scheiterte. Das ZenDiS hat ein immenses Potenzial, ein Arbeitsmuskel und Katalysator für den Ausstieg aus der extremen Abhängigkeit von proprietärer Software großer US-Konzerne zu werden. Deren Erpressbarkeit und Willfährigkeit unter einer ganz und gar unberechenbaren Trump-Administration ist neben den bereits unvertretbar hohen Risiken zu einem weiteren Risiko unserer Abhängigkeit geworden.

Die Zeitenwende ist unbestritten, aber sie nur auf militärische Eigenständigkeit und Kompetenzen zu beziehen, wäre kurzsichtig. In einem Sofortprogramm der neuen Bundesregierung müssen daher massiv die Strukturen für die Förderung guter und sicherer Open Source Software ausgebaut werden: Das ZenDiS und die Souvereign Tech Agency müssen daher langfristig und verlässlich finanziert werden, mit Zusagen im Koalitionsvertrag, die offenbar aktuell strittig sind. Nur mit „Unterstützung der Community“, wie es die Union formulieren möchte, lässt sich dieses kritische Ziel nicht erreichen.

Die angezogene Handbremse muss endlich gelöst werden, dazu braucht auch das BSI Ressourcen für eine enge Zusammenarbeit mit ZenDiS, interessierte Bundesländer müssen sich schneller daran beteiligen können, ein Index für die Digitale Souveränität muss unseren Status Quo berechenbar machen und zur Grundlage für eine Exit-Strategie mit klaren und messbaren Zielen werden. Der Vorschlag der SPD-Verhandlungsgruppe von 50 Prozent Open Source Anteil bis 2029 ist gut und sollte übernommen werden, jedoch mit einer Präzisierung, worauf sich die 50 Prozent beziehen , denn es macht einen Riesenunterschied, ob man von Nutzerzahlen, Software-Lizenzen, beauftragten Software-Entwicklungen oder noch anderen Interpretationen redet.

Vergabeprozesse müssen konkrete Exit-Strategien besser in der Praxis unterstützen. Allerdings reichen dafür keine Beschlüsse, deren Umsetzung nicht gemessen wird und die niemanden interessieren, diese Lektion haben wir längst gelernt, und diesen Fehler darf die neue Koalition nicht wiederholen. Ich begrüße daher, dass in den Entwurfsdokumenten von wirkungsorientierter Politik die Rede ist.

Digitale Souveränität zu erreichen, ist ein dickes Brett, aber für die Zukunft Europas ist sie essentiell. Erreichen können wir sie nur, wenn dieses Thema auch im Kanzleramt eine Top-Priorität wird und Deutschland innerhalb Europas seine großen Potenziale für eine Führungsrolle in diesem Bereich auch umsetzt. Allein mit einem europaweiten Roll-Out von OpenDesk als sicheren Open Source Arbeitsplatz könnten wir einen Riesensprung nach vorne schaffen und deutsche Bundesbehörden könnten tatsächlich einmal digitale Vorreiter sein. Meine Kleine Anfrage offenbart leider, dass der Roll-Out von OpenDesk ins Stocken geraten ist. Merz könnte nun beweisen, dass er ein Machertyp ist, und in der Lage, dieses einzigartige Vorbildprojekt in seiner Amtszeit zum Erfolg zu führen. Damit könnte er Geschichte schreiben, aber ohne ein starkes ZenDiS ist das nicht zu schaffen.“

Das ZenDiS ist Infrastruktur und braucht nachhaltige Finanzierung

„Die Reste-Ampel ignorierte einfach den Beschluss des Haushaltsausschusses, die 34 Millionen Euro Mittel für das ZenDiS aus 2023 endlich vollständig und zeitnah auf das ZenDiS zu übertragen und redet sich mit Auftragsfinanzierung raus. Aber das ZenDiS ist noch in der Auf- und Ausbauphase, da reichen einzelne und zeitlich stark begrenzte, kaum planbare Produktfinanzierungen nicht aus. Immerhin hat der Bund als bisher 100 prozentige Eigentümerin der ZenDiS viele und wichtige Hausaufgaben in den Daseins-Zweck geschrieben, von digitaler Souveränität bei Themen von KI bis Cloud, aber die Finanzierung des ZenDiS dafür bleibt völlig unklar. Das ZenDiS kann enorm viel erreichen und das ist die vielleicht größte Leistung der Ampel-Regierung, aber aus Potenzialen wird nur dann Realität, wenn man mit guten Leuten ein gutes Netzwerk aufbauen und eine gute Plattform betreiben kann, auf der gute und sichere Open Source Lösungen entwickelt, gefunden und gepflegt werden und alles das das ist ohne ausreichend und langfristig verlässliche Ressourcen nicht machbar. Die Schwarz-Rote Koalition kann schnell handeln und die 34 Millionen Haushalts-Restmittel noch vor dem Sommer an das ZenDiS überschreiben und es so handlungsfähiger machen.“

Informationsfreiheitsgesetz und Transparenz bei Digitaler Souveränität

„Ich erwarte, dass Schwarz-Rot mit parlamentarischen Anfragen besser umgeht, als die bisherige Regierung, die mir die Antwort auf die Frage, wie viele Arbeitsplätze mit Arbeitsplatzsoftware es gibt und wie hoch die dafür anfallenden Gesamtausgaben sind, nicht öffentlich beantworten wollte, weil diese Informationen das „Staatswohl“ gefährden sollen. Dafür fehlt mir jedes Verständnis, denn ich habe nicht nach den Arbeitsplätzen des Verfassungsschutzes gefragt, sondern nach der Gesamtzahl im Bund. Ehrlichkeit und Transparenz sind beim Aufbau Digitaler Souveränität unverzichtbar, genauso wie für eine effektive parlamentarische Kontrolle und eine sinnvolle öffentliche Debatte, denn über eingestufte Informationen darf ich nicht reden und sie nicht Medien zur Kommentierung zur Verfügung stellen. Das Volumen der Microsoft-Rahmenverträge des Bundes ist längst öffentlich bekannt, vom Bund beauftragte Studien zur Abhängigkeit des Bundes von einzelnen Anbietern waren auch umfangreich öffentlich. Auch für ein Lagebild „Digitale Souveränität“ braucht man diese Zahlen und spätestens dann sollte die Bundesregierung verstanden haben, dass diese Art Transparenz dem Staatswohl dient. Der Wunsch der Union, das Informationsfreiheitsgesetz abzuschaffen, spricht jedoch für noch mehr Intransparenz und schadet der Demokratie erheblich. Auf keinen Fall darf die SPD hier nachgeben.“

Anlagen:

Antwort auf meine Kleine Anfrage vom 19.03.2025 (korrigierte Fassung mit teilweise Freigabe bisher eingestufter Antworten)Herunterladen
Antwort auf meine Kleine Anfrage vom 19.03.2025 (Anlage 3a zu Frage 11)Herunterladen
Antwort auf meine Kleine Anfrage vom 19.03.2025 (Anlage 3b zu Frage 12)Herunterladen
Meine Anlayse der Antwort der Bundesregierung vom 19.03.2025Herunterladen

Verhandlungsstand von Schwarz-Rot zu Digitalisierung vom 26.03.2025 (fragdenstaat)

Kontakt:

Anke+presse@domscheit-berg.de

/von

Meine Schriftliche Frage zur Wahl-Software von Votegroup

, , , , , , , , ,

Meine Frage:

„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur
Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung,
seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024
von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel
der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf-
fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim-
mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht
auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des
Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent-
licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de-
mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu
gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“

Antwort der Bundesregierung vom 19.02.2025:

„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags-
wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie
als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun-
desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden
(wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab-
stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin
den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern-
wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das
Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im
Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er-
reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt.
Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für
den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response
Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den
Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge-
führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen
selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern
mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge-
legt.

Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex-
ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die
Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die
Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je-
weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte
Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin
wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher-
heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft-
ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt
sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung
der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er-
gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs-
weise die Berechnung zur BTW2021: https://www.bundeswahlleite-
rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“

Antwortschreiben im Original (geschwärzt):

250219_Aw_SF_Wahlsoftware_GeschwärztHerunterladen
/von

Pressemitteilung: Verheerende Nachhaltigkeitsbilanz der Bundes-IT

, , , , , , ,

Zum vierten Mal seit 2021 erfragte DIE LINKE im Bundestag die Bundesregierung zur Nachhaltigkeit der Bundes-IT und nimmt eine Gesamtbewertung für die ablaufende Legislatur vor. Die ehemalige Ampelregierung war mit hohen Ansprüchen angetreten, schrieb sich Nachhaltigkeit in den Titel des Koalitionsvertrages und versprach nachhaltigere Rechenzentren, 100% Ökostrom bis Ende 2024, Einkauf von IT-Produkten und Dienstleistungen unter Berücksichtigung des Blauen Engels und die Fortsetzung der Reduktion der Rechenzentren im Rahmen der IT-Konsolidierung des Bundes. In der vorliegenden Kleinen Anfrage beantwortete die Bundesregierung auch Fragen zum erheblichen Einkaufsvolumen des Bundes für IT Produkte und Dienstleistungen, zur Umsetzung des Energieffizienzgesetzes und zum (extrem angestiegenen) Gesamtenergieverbrauch der Bundes-IT. Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der LINKEN im Bundestag:

Krachend gescheitert: Umsetzung der Nachhaltigkeitsziele für die Bundes-IT

Meine vierte Kleine Anfrage zur Nachhaltigkeit der Bundes-IT offenbart eine verheerende Bilanz der scheidenden Bundesregierung, die mit hohen Ansprüchen angetreten war, aber an jeglicher Umsetzung scheiterte. Der Energieverbrauch durch IT ist massiv angestiegen, die unglaubliche Marktmacht des Bundes von fast 10 Milliarden Euro Einkaufsvolumen wurde einfach nicht für die Bevorzugung nachhaltiger IT genutzt und seit 10 Jahren nicht erreichte Ziele wurden plötzlich für überflüssig erklärt, Beschlüsse ignoriert, Zielerreichungen nicht gemessen sowie Zielverfehlungen nicht sanktioniert. Auch die Umsetzung des Energieeffizienzgesetzes scheint völlig egal, niemand fühlt sich verantwortlich, schon gar nicht das BMWK. Die Ampel ist an der Umsetzung ihrer Nachhaltigkeitsziele krachend gescheitert, aber ich fürchte, in einer Koalition unter Merz wird das Thema Nachhaltigkeit der Digitalisierung schon an der mangelnden Zielsetzung scheitern.

Energieverbrauch der Bundes-IT extrem gestiegen, Ökostrom-Ziel verfehlt

Um 63 GWh stieg der Energieverbrauch der Bundes-IT in 2023. Allein damit könnte man 18.000 Mehrpersonenhaushalte mit Strom versorgen. Insgesamt wurden 2023 sogar 407 GWh verbraten – das würde für sämtliche ca. 116.000 Einwohner Göttingens reichen. Das bereits in 2017 vereinbarte Ziel, unter einem Verbrauch von 350 GWh zu bleiben, wurde damit erstmalig seit 2016 verfehlt, und gleich um 57 GWh. Der Anstieg des IT-Energieverbrauchs um 18 Prozent geht laut Bundesregierung vorwiegend auf den Energiehunger der Rechenzentren zurück. Trotzdem ergab meine Kleine Anfrage: nur jedes 10. RZ des Bundes nutzt ein Energiemanagement und nur ca. 70 Prozent der RZ verwenden 100 Prozent Ökostrom.

Trotz Klimakrise ignorierte die Bundesregierung die eigene Verantwortung und sorgte weder ausreichend für einen geringeren Energieverbrauch, noch für mindestens 100% Ökostrom. Dabei war es ihr erklärtes Ziel, dass bis Ende 2024 alle Liegenschaften des Bundes nur saubere Energie nutzen. Trotzdem werden einige RZ „nicht vor 2028“ und andere sogar erst „spätestens bis 2045“ auf Ökostrom umstellen – das wäre 21 Jahre nach der Deadline! Solche Antworten müssten interne Konsequenzen haben, haben sie aber nicht und hatten sie nie und das ist Teil des Problems.

Chance verpasst: 10 Milliarden Euro Einkaufsmacht des Bundes bei IT ohne Impact

Der Bund könnte allein mit seiner immensen Marktmacht Einfluss darauf nehmen, wie nachhaltig die IT in ganz Deutschland ist, denn bei über 2.000 Vergaben in 2023 gab er fast 10 Mrd Euro für IT-Produkte und Dienstleistungen aus. Aber das passiert einfach nicht, weil es zwar Beschlüsse, Leitfäden und Vorgaben gibt, aber keinerlei Verbindlichkeit, keine Transparenz zur Umsetzung und niemanden, der sich wirklich dafür verantwortlich fühlt. Allein für Software Beschaffung wurden 4,8 Mrd Euro in 2023 ausgegeben. In weiteren 3,7 Milliarden für IT-Dienste sind außerdem Vergaben für Software-Entwicklung enthalten. Laut Umweltbundesamt ist das Ressourceneinsparpotenzial von Software immens, aber trotzdem hat der Bund in dieser Legislatur bei mehr als 1700 vergebenen Software-Entwicklungsaufträgen kein einziges Mal die Einhaltung der Kriterien des Blauen Engel für energieeffiziente Software verlangt oder bei Eigenentwicklungen vergeben, nicht mal das Klima- und das Umweltministerium.

Auch bei keiner der 118 Vergaben von Cloud Dienstleistungen war der Blaue Engel eine Bedingung für den Einkauf. Hier könnte der Markt wirklich mal etwas regeln, aber eben nur, wenn der Bund seine Marktmacht auch nutzt. Ein Ministerium, das Wirtschafts- und Klimathemen vereint, könnte dabei Vorreiter sein, aber im BMWK ignoriert man nicht nur die eigene Marktmacht, sondern auch die Macht der Regulierung. Nach Verabschiedung des abgeschwächten Energieeffizienzgesetzes scheint sich das BMWK nämlich dafür nicht mehr zu interessieren, denn es hat laut Antwort der Bundesregierung auf meine Fragen dazu u.a. „keine Kenntnis“ davon, ob und wie sich Unternehmen oder selbst der Bund daran halten, z.B. durch Beteiligung am RZ-Register.

Die 135 Rechenzentren des Bundes nutzen kaum Abwärme und klimafreundliche Kältemittel

Bei der Senkung der negativen Klimawirkung von Rechenzentren wurde weder bei der Nachnutzung der Abwärme noch bei der Art der Kältemittel eine nennenswerte Verbesserung im Vergleich zum Vorjahr erreicht. Bei Bestands-Rechenzentren ist eine Veränderung nicht einfach und manchmal gar nicht umzusetzen. Aber offensichtlich schöpft der Bund seine Möglichkeiten nicht aus, denn nur jedes 8. Rechenzentrum nutzt einen Teil seiner Abwärme und nur jedes 6. Rechenzentrum setzt klimafreundliche Kältemittel ein und für etwa jedes Dritte RZ wurde nicht einmal eine Antwort auf diese simplen Fragen gegeben.

Fazit zur Betriebskonsolidierung des Bundes: immer mehr statt weniger Rechenzentren

Seit 10 Jahren soll die Anzahl der Rechenzentren des Bundes um 90 Prozent sinken, von 100 RZ in 2015 auf 10 RZ in 2025. Stattdessen zeigen meine Kleinen Anfragen seit Jahren, dass keine Konsolidierung stattfindet. Für Ende 2024 gab der Bund 135 RZ an und noch in diesem Jahr sollen daraus sogar 139 werden, bevor es irgendwann weniger werden sollen. In 2028 sollen es 123 RZ sein, also immer noch 23 Prozent mehr, als bei Beginn der Konsolidierung, statt 90 Prozent weniger. Noch 2023 wurde mir im Digitalausschuss das alte Ziel der Konsolidierung auf künftig nur noch 10 RZ als weiterhin gültig versichert. Da war sogar von nur noch 3 Master-RZ die Rede. Aber nun kapituliert der Bund einfach komplett und erklärt nach einem Jahrzehnt Fehlentwicklung, dass die Anzahl der RZ ganz egal und ihre Reduktion kein Ziel mehr sei, man schaue jetzt nur noch auf die Konsolidierbarkeit von Anwendungen. Da die IT-Konsolidierung des Bundes eines der teuersten IT-Projekte mit einem Volumen von über 3 Milliarden Euro ist, ist diese Bankrotterklärung nicht nur peinlich, sondern auch ein unfassbar laxer Umgang mit Steuergeldern. Der Bundesrechnungshof kritisiert die mangelnde Umsetzung schon seit Jahren völlig zu Recht, aber leider auch völlig ohne Wirkung.

Kaum Transparenz, ein (noch?) disfunktionales Berichtswesen, fehlende Tools als Ausrede

Ich glaube an den Grundsatz „You get what you measure“, denn wenn man Ziele nicht messbar definiert und den Grad ihrer Erreichung nicht erhebt, ist die Wahrscheinlichkeit hoch, dass man sie verfehlt. Deshalb habe ich das Fehlen messbarer Ziele bei der Digitalstrategie von Anfang an kritisiert. Auch die Umsetzungsschwäche bei der Nachhaltigkeit der Digitalisierung hat viel mit vagen Zielen und/oder mangelnder Transparenz zu tun. Wieder war eine besonders häufige Antwort auf meine Fragen „Keine Angabe“ oder „keine Kenntnis“. Man kann nur spekulieren, ob das an Unfähigkeit oder am Unwillen liegt, diese Daten bereitzustellen. Manchmal ist die Ursache klar, wie bei der grottigen Ressourceneffizienz von Websites des Bundes. Den Klima-Impact seiner laut Antwort der Bundesregierung 2.160 Websiten ignoriert der Bund nämlich deshalb komplett, weil man die existierenden Tools zur Messung ihrer Ressourceneffizienz nicht gut genug findet. Dabei könnte der Bund selbst Tools entwickeln und zertifizieren lassen. Alternativ könnten eigene Vorgaben des Bundes dafür sorgen, dass Websiten von BMI und BMWK nicht mehr bei Messwerkzeugen wie websitecarbon.com schlechter abschneiden, als über 90 Prozent aller Websiten weltweit.

Immerhin könnte es künftig zuverlässigere Daten geben, denn ein neues Berichtswesen für die Nachhaltigkeit der RZ ist geplant. Ein Tool dafür soll irgendwann in 2025 entwickelt werden. Allerdings steht und fällt der Erfolg damit, ob die Anwendung verbindlich ist und sich die Behörden daranhalten. Vorgaben gibt es jetzt auch schon viele, sie werden nur leider folgenlos ignoriert. Der Gipfel ist jedoch der Umgang des Bundes mit verfehlten Zielen. Denn dann wird die Berichterstattung einfach verschleppt, wie beim Monitoringbericht zum Maßnahmeprogramm Nachhaltigkeit, der für 2023 immer noch nicht vorgelegt wurde und für 2024 „wegen Evaluierung“ gar nicht mehr geplant wird. Oder das Ziel wird insgesamt für obsolet erklärt, wie bei der Konsolidierung der Anzahl der Rechenzentren. Mehr Bankrotterklärung geht eigentlich gar nicht.

Antwort der Bundesregierung

Antwortschreiben der Bundesregierung im Original (geschwärzt)
Anlage 1 (Anzahl RZ 2022-2028, Eigenbetrieb ja/nein)
Anlage 2 (Einhaltung der Kriterien des Blauen Engels durch RZ des Bundes)
Anlage 3 (Gesamtenergieverbrauch der RZ, Bezug von Ökostrom)
Anlage 4 (verwendete Kältemittel in RZ, geplante Umrüstung)
Anlage 5 (Abwärmenutzung durch RZ, Energy Reuse Factor, geplante Umstellung)
Anlage 6 (Nachhaltigkeit bei Verträgen für Rechenzentrums-Dienstleistungen)
Anlage 7 (Liste der Website-Adressen des Bundes)

Tabellengrafiken (Auswertung der Anlagen)

Umfassende Analyse der Antwort der Bundesregierung mit Zahlen, Daten, Fakten

Weiterführende Informationen

Kleine Anfrage Nachhaltigkeit der Bundes-IT 2023
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2022
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2021
Schriftliche Frage zur Anzahl Entwicklungsaufträge für Software 2021-2024
Kritik des Bundesrechnungshof an der IT Konsolidierung des Bundes
Mein Talk auf dem 37C3-Kongress „Klimafreundliche Digitalisierung – Koalitionsvertrag versus Wirklichkeit“, 2023

/von

MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG

, , , , ,

Frage:

Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?

Antwort der Bundesregierung vom 6.2.2025:

Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.

Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.

Der flächendeckende Anschluss von betroffenen Registern und Online-Diensten an das EU-OOTS steht noch aus. Darüber hinaus kann der Umsetzungsstand der SDG-VO dem Bericht an den IT-Rat vom September 2024 entnommen werden:https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2024_03_Anlage.html.

50 Register müssen die Identifikationsnummer speichern. Sie sind in der Anlage zum Identifikationsnummerngesetz (IDNrG) aufgeführt. Der Roll-out der Identifikationsnummer in die Bundesregister richtet sich nach dem Beschluss des IT-Rates „Rollout der Identifikationsnummer nach § 1 des IDNrG in Bundesregistern“ (Beschluss Nr. [2023/6], https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2023_06_IT-Rat_Rollout_IDNr.pdf?__blob=publicationFile&v=6).

Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.

Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.

Antwortschreiben im Original (geschwärzt):

SF433_GeschwärztHerunterladen

/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

Der ADB Podcast #42 – Anhörung Open Source, Chaos im Bundestag, Bonus: AfD-Verbot, §218, VDS und Abschied

, , , , , , , , , , ,

Im Bundestag herrscht Chaos, weil die Super-GroKo aus Ampel und Union den Parlamentsbetrieb vor den Neuwahlen behindert. Ich erzähle, was das praktisch für Folgen hat (u.a. keine Debatten mehr im Digitalausschuss). Hauptthema in dieser Folge: eine Sternstunden-Anhörung zum Thema Open Source am 4.12.2024, ein Herzenswunsch von mir! Es ist die letzte Anhörung dieser Legislatur zu digitalen Themen. Außerdem: meine letzte Rede im Bundestag (zu Vorratsdatenspeicherung von IP Adressen und Funkzellenabfragen), in der ich auch meinen Abschied erkläre, sowie Updates zu den parteiübergreifenden Gruppenanträgen zur AfD Überprüfung und zur Legalisierung von Schwangerschaftsabbrüchen.

Kapitelmarken:

00:00:07 Intro
00:02:05 Einführung Open Source Software
00:11:23 Meine parl. Initiativen zu OSS
00:26:00 Anhörung OSS: Input Sachverständige
00:34:07 Anhörung OSS: OpenWashing, Bildung, Wirtschaft
00:41:25: Anhörung OSS: ZenDiS, Verw, IT-Sicherheit, „LOL“
00:54:46 Update Bundestag
00:56:28 Update AfD-Überprüfung u §218
00:57:38 Update Streichung §218
01:00:25 Meine Letzte Rede u Ankündigung Abschied
01:03:48 Outro

Weiterführende Links:

Open Source allgemein

Open Source Gardens

Lizenzlisten für Open Source Software der Free Software Foundation

Lizenzlisten für Open Source Software der Open Source Initiative

Lizenzlisten für Open Source Software des Debian Projekts

Heise Artikel – Bedeutung v OSS in Unternehmen, 13.02.24

Bitkom-Studie – OSS in dt. Unternehmen, 2023

Beschluss IT-Planungsrat, Sept. 2023 zur Verwaltungscloud-Strategie

Heise zu Lizenzkosten des Bundes für Microsoft – Anfrage MdB Victor Perli, Juni 24

IT-Planungsrat-Beschluss von 2020 zu Open Source bei der OZG-Umsetzung

Meine parlamentarischen Initativen zu Open Source:

Kleine Anfrage zu Open Source in der Bundesverwaltung von 12/23, Pressemitteilung

Schriftliche Einzelfrage zur Anzahl der Open Source Entwicklungsaufträge des Bundes von 08/24, Blogpost

Kleine Anfrage zu Abhängigkeit und Lobbyismus von Microsoft und SAP sowie der Delos-Cloud von 09/24, Blogpost

Kleine Anfrage zum Stand der Umsetzung des Onlinezugangsgesetzes OZG von 11/22, Blogpost

Schriftliche Einzelfrage zur Förderung von Open Source Software von 03/24

Schriftliche Einzelfrage zur Einbindung der Bundesländer in das ZenDiS von 06/24

Schriftliche Einzelfrage zur Beauftragung des ZenDiS durch den Bund von 03/24

Schriftliche Einzelfrage zu Personalmitteln des ZenDiS von 03/24

Open Source Anhörung am 4.12.24 im Digitalausschuss:

Anhörung zu Open Source in der Mediathek des Bundestages

Kampagne „public money, public code“

Stellungnahmen von Sachverständigen OSS Anhörung von:
Free Software Foundation Europe (FSFE)

Open Source Buisness Alliance (OSBA)

Innovationsverbund Öffentliche Gesundheit (InÖG)

Zentrum für Digitale Souveränität (ZenDiS)

Unaufgeforderte Stellungnahme der Gesellschaft für Information (GI)

Heise Bericht zur XZ-Backdoor, 20.4.24

Open Source Beteiligungs-Tool „Consul“

Open Source Beteiligungs-Tool „Decidim“

Heise-Bericht zum Umstieg auf OSS in Schleswig-Holstein, 26.11.24

Videoserie zu Open Source im Landesrechenzentrum Thüringen von 2024

Update Bundestag, §218, AfD, Letzte Rede:

Debatte zu § 218 StGB in der Mediathek des Bundestages

Meine Rede zu Protokoll zur Debatte um § 218 StGB

Rede Heidi Reichinnek (LINKE) zu § 218 StGB

Der ADB Podcast #41, u.a. zum Gruppentrag zu § 218

Correctiv klagt auf Herausgabe AfD Gutachten durch Verfassungsschutz

Meine vermutlich letzte Rede im Plenum (5.12.2024) – VDS, Funkzellenabfrage u Abschied

Meine früheren Reden zur VDS

…18.01.2024

…20.09.2023

…17.03.2023

…29.09.2022

24.06.2022

Ausbick:

Demo-Aufruf für die Legalisierung von Schwangerschaftsabbrüchen am 07.12.204 Weg mit § 218

Medien:

Heise vom 29.11.24 zum digitalpolitischen Erbe der Ampel


/von

Meine Schriftliche Frage zur Pflege des Waffenregisters

, , , , ,

Meine Frage:

„Wie wird erfasst beziehungsweise überprüft, ob im Nationalen Waffenregister als waffenbesitzend erfasste Personen verstorben sind und die Vorgaben des Waffengesetzes im Falle der Erbschaft (siehe www.bva.bund.de/SharedDocs/Downloads/DE/Buerger/Ausweis-Dokumente- Recht/Waffenrecht/Einzelerlaubnisse/merkblatt_erbwaffen.pdf) eingehalten werden (bitte auch zuständige Organisationseinheit(en) angeben), insbesondere dann, wenn durch die Erben kein waffenrechtliches Bedürfnis geltend gemacht werden konnte, und die geerbten Schusswaffen durch ein dem Stand der Technik entsprechendes Blockiersystem durch speziell eingewiesene Inhaber einer Waffenherstellungs- oder einer Waffenhandelserlaubnis oder durch entsprechend bevollmächtigte Mitarbeiter zu sichern sind und die erlaubnispflichtige Munition binnen angemessener Frist unbrauchbar zu machen oder einem Berechtigten zu überlassen ist (§ 20 Abs. 3 Satz 2 des Waffengesetzes – WaffG), und welche Kenntnis hat die Bundesregierung zu möglichen Größenordnungen verstorbener waffenbesitzender Personen beispielsweise durch Kenntnis von Stichprobenabfragen im Rahmen des National- Once-Only-Technical-Systems (NOOTs) und der Steuer-ID?“

Antwort der Bundesregierung vom 06.12.24:

„Der Vollzug des Waffengesetzes (WaffG) ist Ländersache. Die Meldebehörde übermittelt den Tod eines Erlaubnisinhabers nach § 44 Abs. 2 WaffG an die zuständige Waffenbehörde oder die Waffenbehörde erhält selbst Kenntnis vom Versterben der Person. Die Waffenbehörde speichert das Sterbedatum nach § 6 Abs. 1 Nr. 2 lit. i des Waffenregistergesetzes im Nationalen Waffenregister. Die Einhaltung des § 20
WaffG (Erwerb und Besitz von Schusswaffen durch Erwerber infolge eines Erbfalls) wird durch die Waffenbehörden gesichert. Die Bundesregierung hat keine Kenntnis zur Anzahl verstorbener waffenbesitzender
Personen im Nationalen Waffenregister. Diese Zahl ist weder Bestandteil der Monatsstatistiken des Nationalen Waffenregisters, noch wurde diese Zahl im Rahmen des Pilotprojektes zur Registermodernisierung im Nationalen Waffenregister erhoben.“

Antwortschreiben im Original (geschwärzt):

241206_Aw_SF_Waffenregister-Verstorbene_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zum Aufbau von Dateninstitut, BEKI, ABOS, ZEAM

, , , , , , , , , ,

Meine Frage:

„Warum sind diverse organisatorische Strukturen, darunter das Dateninstitut, das Beratungs- und Evaluierungszentrums für Künstliche Intelligenz (BEKI), die Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben (ABOS) und die Zentrale Stelle für die Erkennung ausländischer Informationsmanipulation (ZEAM) zum Teil schon seit mehreren Jahren „im Aufbau“ (bitte begründen, warum dieser Prozess so viel Zeit beansprucht), und wann sollen sie jeweils tatsächlich in ihrer finalen Rechtsbeziehungs-weise Organisationsform offiziell die Arbeit aufnehmen und nicht mehr nur „im Aufbau“ oder „in Gründung“ sein (bitte jeweils geplanten Zeitpunkt zum finalen Ausbau und die geplante Rechts- beziehungsweise Organisationsform angeben)?“

Antwort der Bundesregierung vom 08.11.24:

„Der zur Schaffung des Dateninstituts („DI“) für Deutschland gewählte Vergabeprozess eines sog. Wettbewerblichen Dialogs ist inzwischen weit fortgeschritten: Teilnahmewettbewerb, erste Dialogrunde und Überarbeitung der Vergabeunterlagen sind abgeschlossen, die Bieter überarbeiten derzeit ihre Lösungsvorschläge und nach einer oder maximal zwei weiteren Dialogrunden wird der Zuschlag erteilt und
unmittelbar anschließend – nach aktuellem Stand im Mai / Juni 2025 – die eigentliche Gründung vollzogen. In Form einer Verprobung hat die Arbeit des DI jedoch bereits vor dem Vergabeprozess begonnen, nämlich mit dem Start der vorgelagerten Use Cases eines offenen Datenmodells zur Long-Covid-Forschung (Form: Challenge, geleitet durch das Bundesministerium des Innern und für Heimat [BMI]) und einem Testfeld und einer Konsultationsumgebung zur dezentralen Datennutzung in Energienetzen (In-House-Vergabe des Bundesministeriums für Wirtschaft und Klimaschutz [BMWK] an die Deutsche Energieagentur). Die letztendliche Rechtsform des DI wird derzeit im o. g. Dialog ausgehandelt. Im Moment des Zuschlags wird vertraglich festgelegt sein, dass der Regelbetrieb des DI nach einer bestimmten Anzahl von Monaten nach Zuschlag aufgenommen sein muss. Details hierzu können aus vergaberechtlichen Gründen hier nicht mitgeteilt werden. Die Hintergründe zum zeitlichen Verlauf des Vorhabens wurden durch die federführenden Häuser BMWK und BMI in Abständen auch öffentlich kommuniziert, u. a. bei einer großen Kick-Off-Veranstaltung am 10. April diesen Jahres: Nachdem die Haushaltsmittel zeitweilig durch den Deutschen Bundestag gesperrt gewesen waren, mussten zunächst die o. g. gemäß Vorgaben der Gründungskommission vor die formelle Gründung zu ziehenden Use Cases gestartet und das taugliche Vergabeverfahren für die eigentliche Gründung er-
mittelt und vorbereitet werden, wozu auch zwei sogenannte Marktdialoge durchge-
führt wurden.


Mit dem Beratungszentrum für Künstliche Intelligenz („BeKI“) im BMI soll eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung geschaffen werden. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenübergreifenden Austausch und die Vernetzung rele-
vanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Dabei wird auf bereits gewonnenen Erfahrungen aufgebaut und werden etablierte Strukturen und Formate einbezogen, um diese durch koordinative Unterstützung des BeKI zu stärken. Der Aufbau des BeKI erfolgt durch die im BMI eingerichtete Projektgruppe Künstliche Intelligenz (PG KI). Für die Wahrnehmung der Gesamtaufgaben der PG KI sind im Jahr 2024 elf Vollzeitäquivalente eingeplant. Um einen unmittelbaren Mehrwert für die Bundesverwaltung sicherzustellen, führt die Projektgruppe KI im Rahmen des Aufbaus des BeKI bereits mehrere Pilotinitiativen durch. Die Einrichtung des BeKI steht in Abhängigkeit verfügbarer Haushaltsmittel und Stellen. Ein weiterer Aufbau des BeKI ist beabsichtigt.

Die Algorithmenbewertungsstelle für Organisationen und Behörden mit Sicherheitsaufgaben („ABOS“) soll die Unterstützung der Bundessicherheitsbehörden bei Fragen zu KI-Regulierung, sowie qualitätsgesicherter und vertrauenswürdiger KI zentralisieren. Insbesondere soll die ABOS bei der Umsetzung der KI-Verordnung (https://data.consilium.europa.eu/doc/document/PE-24-2024-INIT/de/pdf (https://atpscan.global.hornetsecurity.com/…)) der EU im sicherheitsbehördlichen Bereich wichtige Aufgaben im Sinne eines Kompetenzzentrums übernehmen. Dies umfasst beispielsweise:

  • Zentrale Beratung und Unterstützung für Sicherheitsbehörden des Bundes be-
    züglich der Umsetzung der KI-Verordnung sowie weiteren Themen zu KI-Re-
    gulierung und qualitätsgesicherter KI
  • Erstellung allgemeiner / zentraler Leitlinien und Frameworks für die Umset-
    zung der KI-Verordnung bei Sicherheitsbehörden des Bundes
  • Beobachtung von relevanten nationalen und internationalen Gremien zu KI-
    Regulierung, insbesondere einschlägige Standardisierungsgremien

Die ABOS soll daher nicht mit Plattformen oder nur zu spezifischen Plattformen arbeiten, sondern betrachtet die Anforderungen und die KI-Systeme der Sicherheitsbehörden individuell und ganzheitlich. Der Aufbau und die Konzeption einer solchen Stelle wird bis 2025 aus dem Paket der Bundesregierung zur Konjunktur- und Krisenbewältigung aus dem Jahr 2020 finanziert.

Die Bundesregierung hat eine Projektgruppe zum Aufbau einer Zentralen Stelle zur Erkennung ausländischer Informationsmanipulation („ZEAM“) im BMI eingerichtet, die vom Auswärtigen Amt (AA), dem Bundesministerium der Justiz (BMJ) und dem Presse- und Informationsamt der Bundesregierung (BPA) unterstützt wird. Die Projektgruppe hat am 1. Juni 2024 ihre Arbeit aufgenommen. Die Schaffung einer ressort-übergreifenden Stelle zur Erkennung von ausländischer Informationsmanipulation ist ein wichtiger Schritt, um den Schutz unserer demokratischen Grundordnung in diesem Sinne nachhaltig zu stärken. Ein weiterer Aufbau der ZEAM ist beabsichtigt.“

Antwortschreiben im Original (geschwärzt):

241108_Aw_SF_BEKI-ABOS-ZEAM-Aufbau_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zu Aufgaben des BEKI

, , , , , , , ,

Meine Frage:

„Soll das BeKI weiterhin wie ursprünglich geplant, Beratungen und Evaluationen im Zusammenhang mit dem Einsatz von KI im Bund leisten, für den Marktplatz KI Anwendungen im Bund verantwortlich und als Koordinierungsstelle für KI im Bund zuständig sein (bitte jeweils bestätigen oder eingrenzen für die genannten Aufgabenbereiche und gegebenenfalls weitere Aufgaben ergänzen), und wie grenzen sich genau die Aufgaben des BeKI vom KI-Kompetenzzentrum der Bundesdruckerei GmbH ab (bitte als tabellarische Gegenüberstellung)?“

Antwort der Bundesregierung vom 05.11.24:

„Mit dem im Aufbau befindlichen Beratungszentrum für Künstliche Intelligenz („BeKI“) schafft das Bundesministerium des Innern und für Heimat (BMI) eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenüber-greifenden Austausch und die Vernetzung relevanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Das BeKI soll außerdem mit dem Markplatz der KI Möglichkeiten („MaKI“) eine Vernetzungsplattform für die Bundesverwaltung bilden und so einen transparenten Überblick über die bestehenden Projekte im Bereich der Künstlichen Intelligenz aufzeigen. Darüber hinaus koordiniert das BeKI das Angebot einer KI-Plattform zur Nutzung von Sprachmodellen (KIPITZ) und entwickelt KI-Leitlinien für die Bundesverwaltung. Im Rahmen der nationalen Umsetzung der KI-Verordnung und damit verbundener Marktüberwachungsstrukturen befindet sich der Aufgabenbereich Evaluation aktuell in Abstimmung.

Das KI-Kompetenz-Center der Bundesverwaltung (KI-KC) unterstützt bei der agilen Entwicklung nutzerzentrierter KI-Lösungen für und mit der Bundesverwaltung. Der Schwerpunkt der angebotenen Unterstützung liegt auf der technischen Umsetzungsdimension innerhalb von Proof-of-Values (PoVs) von KI-Anwendungen in der öffentlichen Verwaltung. Die an den PoV anschließende Produktentwicklung, beginnend mit Minimal Viable Products oder Piloten, liegt außerhalb des Verantwortungsbereiches des KI-KC.

Tabellarische Darstellung „Abgrenzung der Aufgaben des BeKI vom KI-Kompetenz-Center“:

Antwortschreiben im Original (geschwärzt):

241105_Aw_SF-BEKI-Abgrenzung_GeschwaerztHerunterladen
/von