„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung, seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024 von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf- fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim- mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent- licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de- mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“
Antwort der Bundesregierung vom 19.02.2025:
„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags- wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun- desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden (wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab- stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern- wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er- reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt. Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge- führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge- legt.
Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex- ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je- weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher- heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft- ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er- gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs- weise die Berechnung zur BTW2021: https://www.bundeswahlleite- rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“
Zum vierten Mal seit 2021 erfragte DIE LINKE im Bundestag die Bundesregierung zur Nachhaltigkeit der Bundes-IT und nimmt eine Gesamtbewertung für die ablaufende Legislatur vor. Die ehemalige Ampelregierung war mit hohen Ansprüchen angetreten, schrieb sich Nachhaltigkeit in den Titel des Koalitionsvertrages und versprach nachhaltigere Rechenzentren, 100% Ökostrom bis Ende 2024, Einkauf von IT-Produkten und Dienstleistungen unter Berücksichtigung des Blauen Engels und die Fortsetzung der Reduktion der Rechenzentren im Rahmen der IT-Konsolidierung des Bundes. In der vorliegenden Kleinen Anfrage beantwortete die Bundesregierung auch Fragen zum erheblichen Einkaufsvolumen des Bundes für IT Produkte und Dienstleistungen, zur Umsetzung des Energieffizienzgesetzes und zum (extrem angestiegenen) Gesamtenergieverbrauch der Bundes-IT. Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der LINKEN im Bundestag:
Krachend gescheitert: Umsetzung der Nachhaltigkeitsziele für die Bundes-IT
Meine vierte Kleine Anfrage zur Nachhaltigkeit der Bundes-IT offenbart eine verheerende Bilanz der scheidenden Bundesregierung, die mit hohen Ansprüchen angetreten war, aber an jeglicher Umsetzung scheiterte. Der Energieverbrauch durch IT ist massiv angestiegen, die unglaubliche Marktmacht des Bundes von fast 10 Milliarden Euro Einkaufsvolumen wurde einfach nicht für die Bevorzugung nachhaltiger IT genutzt und seit 10 Jahren nicht erreichte Ziele wurden plötzlich für überflüssig erklärt, Beschlüsse ignoriert, Zielerreichungen nicht gemessen sowie Zielverfehlungen nicht sanktioniert. Auch die Umsetzung des Energieeffizienzgesetzes scheint völlig egal, niemand fühlt sich verantwortlich, schon gar nicht das BMWK. Die Ampel ist an der Umsetzung ihrer Nachhaltigkeitsziele krachend gescheitert, aber ich fürchte, in einer Koalition unter Merz wird das Thema Nachhaltigkeit der Digitalisierung schon an der mangelnden Zielsetzung scheitern.
Energieverbrauch der Bundes-IT extrem gestiegen, Ökostrom-Ziel verfehlt
Um 63 GWh stieg der Energieverbrauch der Bundes-IT in 2023. Allein damit könnte man 18.000 Mehrpersonenhaushalte mit Strom versorgen. Insgesamt wurden 2023 sogar 407 GWh verbraten – das würde für sämtliche ca. 116.000 Einwohner Göttingens reichen. Das bereits in 2017 vereinbarte Ziel, unter einem Verbrauch von 350 GWh zu bleiben, wurde damit erstmalig seit 2016 verfehlt, und gleich um 57 GWh. Der Anstieg des IT-Energieverbrauchs um 18 Prozent geht laut Bundesregierung vorwiegend auf den Energiehunger der Rechenzentren zurück. Trotzdem ergab meine Kleine Anfrage: nur jedes 10. RZ des Bundes nutzt ein Energiemanagement und nur ca. 70 Prozent der RZ verwenden 100 Prozent Ökostrom.
Trotz Klimakrise ignorierte die Bundesregierung die eigene Verantwortung und sorgte weder ausreichend für einen geringeren Energieverbrauch, noch für mindestens 100% Ökostrom. Dabei war es ihr erklärtes Ziel, dass bis Ende 2024 alle Liegenschaften des Bundes nur saubere Energie nutzen. Trotzdem werden einige RZ „nicht vor 2028“ und andere sogar erst „spätestens bis 2045“ auf Ökostrom umstellen – das wäre 21 Jahre nach der Deadline! Solche Antworten müssten interne Konsequenzen haben, haben sie aber nicht und hatten sie nie und das ist Teil des Problems.
Chance verpasst: 10 Milliarden Euro Einkaufsmacht des Bundes bei IT ohne Impact
Der Bund könnte allein mit seiner immensen Marktmacht Einfluss darauf nehmen, wie nachhaltig die IT in ganz Deutschland ist, denn bei über 2.000 Vergaben in 2023 gab er fast 10 Mrd Euro für IT-Produkte und Dienstleistungenaus. Aber das passiert einfach nicht, weil es zwar Beschlüsse, Leitfäden und Vorgaben gibt, aber keinerlei Verbindlichkeit, keine Transparenz zur Umsetzung und niemanden, der sich wirklich dafür verantwortlich fühlt. Allein für Software Beschaffung wurden 4,8 Mrd Euro in 2023 ausgegeben. In weiteren 3,7 Milliarden für IT-Dienste sind außerdem Vergaben für Software-Entwicklung enthalten. Laut Umweltbundesamt ist das Ressourceneinsparpotenzial von Software immens, aber trotzdem hat der Bund in dieser Legislatur bei mehr als 1700 vergebenen Software-Entwicklungsaufträgen kein einziges Mal die Einhaltung der Kriterien des Blauen Engel für energieeffiziente Software verlangt oder bei Eigenentwicklungen vergeben, nicht mal das Klima- und das Umweltministerium.
Auch bei keiner der 118 Vergaben von Cloud Dienstleistungen war der Blaue Engel eine Bedingung für den Einkauf. Hier könnte der Markt wirklich mal etwas regeln, aber eben nur, wenn der Bund seine Marktmacht auch nutzt. Ein Ministerium, das Wirtschafts- und Klimathemen vereint, könnte dabei Vorreiter sein, aber im BMWK ignoriert man nicht nur die eigene Marktmacht, sondern auch die Macht der Regulierung. NachVerabschiedung des abgeschwächten Energieeffizienzgesetzes scheint sich das BMWK nämlich dafür nicht mehr zu interessieren, denn es hat laut Antwort der Bundesregierung auf meine Fragen dazu u.a. „keine Kenntnis“ davon, ob und wie sich Unternehmen oder selbst der Bund daran halten, z.B. durch Beteiligung am RZ-Register.
Die 135 Rechenzentren des Bundes nutzen kaum Abwärme und klimafreundliche Kältemittel
Bei der Senkung der negativen Klimawirkung von Rechenzentren wurde weder bei der Nachnutzung der Abwärme noch bei der Art der Kältemittel eine nennenswerte Verbesserung im Vergleich zum Vorjahr erreicht. Bei Bestands-Rechenzentren ist eine Veränderung nicht einfach und manchmal gar nicht umzusetzen. Aber offensichtlich schöpft der Bund seine Möglichkeiten nicht aus, denn nur jedes 8. Rechenzentrum nutzt einen Teil seiner Abwärme und nur jedes 6. Rechenzentrum setzt klimafreundliche Kältemittel ein und für etwa jedes Dritte RZ wurde nicht einmal eine Antwort auf diese simplen Fragen gegeben.
Fazit zur Betriebskonsolidierung des Bundes: immer mehr statt weniger Rechenzentren
Seit 10 Jahren soll die Anzahl der Rechenzentren des Bundes um 90 Prozent sinken, von 100 RZ in 2015 auf 10 RZ in 2025. Stattdessen zeigen meine Kleinen Anfragen seit Jahren, dass keine Konsolidierung stattfindet. Für Ende 2024 gab der Bund 135 RZ an und noch in diesem Jahr sollen daraus sogar 139 werden, bevor es irgendwann weniger werden sollen. In 2028 sollen es 123 RZ sein, also immer noch 23 Prozent mehr, als bei Beginn der Konsolidierung, statt 90 Prozent weniger. Noch 2023 wurde mir im Digitalausschuss das alte Ziel der Konsolidierung auf künftig nur noch 10 RZ als weiterhin gültig versichert. Da war sogar von nur noch 3 Master-RZ die Rede. Aber nun kapituliert der Bund einfach komplett und erklärt nach einem Jahrzehnt Fehlentwicklung, dass die Anzahl der RZ ganz egal und ihre Reduktion kein Ziel mehr sei, man schaue jetzt nur noch auf die Konsolidierbarkeit von Anwendungen. Da die IT-Konsolidierung des Bundes eines der teuersten IT-Projekte mit einem Volumen von über 3 Milliarden Euro ist, ist diese Bankrotterklärung nicht nur peinlich, sondern auch ein unfassbar laxer Umgang mit Steuergeldern. Der Bundesrechnungshof kritisiert die mangelnde Umsetzung schon seit Jahren völlig zu Recht, aber leider auch völlig ohne Wirkung.
Kaum Transparenz, ein (noch?) disfunktionales Berichtswesen, fehlende Tools als Ausrede
Ich glaube an den Grundsatz „You get what you measure“, denn wenn man Ziele nicht messbar definiert und den Grad ihrer Erreichung nicht erhebt, ist die Wahrscheinlichkeit hoch, dass man sie verfehlt. Deshalb habe ich das Fehlen messbarer Ziele bei der Digitalstrategie von Anfang an kritisiert. Auch die Umsetzungsschwäche bei der Nachhaltigkeit der Digitalisierung hat viel mit vagen Zielen und/oder mangelnder Transparenz zu tun. Wieder war eine besonders häufige Antwort auf meine Fragen „Keine Angabe“ oder „keine Kenntnis“. Man kann nur spekulieren, ob das an Unfähigkeit oder am Unwillen liegt, diese Daten bereitzustellen. Manchmal ist die Ursache klar, wie bei der grottigen Ressourceneffizienz von Websites des Bundes. Den Klima-Impact seiner laut Antwort der Bundesregierung 2.160 Websiten ignoriert der Bund nämlich deshalb komplett, weil man die existierenden Tools zur Messung ihrer Ressourceneffizienz nicht gut genug findet. Dabei könnte der Bund selbst Tools entwickeln und zertifizieren lassen. Alternativ könnten eigene Vorgaben des Bundes dafür sorgen, dass Websiten von BMI und BMWK nicht mehr bei Messwerkzeugen wie websitecarbon.com schlechter abschneiden, als über 90 Prozent aller Websiten weltweit.
Immerhin könnte es künftig zuverlässigere Daten geben, denn ein neues Berichtswesen für die Nachhaltigkeit der RZ ist geplant. Ein Tool dafür soll irgendwann in 2025 entwickelt werden. Allerdings steht und fällt der Erfolg damit, ob die Anwendung verbindlich ist und sich die Behörden daranhalten. Vorgaben gibt es jetzt auch schon viele, sie werden nur leider folgenlos ignoriert. Der Gipfel ist jedoch der Umgang des Bundes mit verfehlten Zielen. Denn dann wird die Berichterstattung einfach verschleppt, wie beim Monitoringbericht zum Maßnahmeprogramm Nachhaltigkeit, der für 2023 immer noch nicht vorgelegt wurde und für 2024 „wegen Evaluierung“ gar nicht mehr geplant wird. Oder das Ziel wird insgesamt für obsolet erklärt, wie bei der Konsolidierung der Anzahl der Rechenzentren. Mehr Bankrotterklärung geht eigentlich gar nicht.
Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?
Antwort der Bundesregierung vom 6.2.2025:
Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.
Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.
Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.
Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-13 16:12:522025-02-13 16:12:52MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG
Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.
Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:
„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.
Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.
Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.
Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.
Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.
Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“
Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI
Im Bundestag herrscht Chaos, weil die Super-GroKo aus Ampel und Union den Parlamentsbetrieb vor den Neuwahlen behindert. Ich erzähle, was das praktisch für Folgen hat (u.a. keine Debatten mehr im Digitalausschuss). Hauptthema in dieser Folge: eine Sternstunden-Anhörung zum Thema Open Source am 4.12.2024, ein Herzenswunsch von mir! Es ist die letzte Anhörung dieser Legislatur zu digitalen Themen. Außerdem: meine letzte Rede im Bundestag (zu Vorratsdatenspeicherung von IP Adressen und Funkzellenabfragen), in der ich auch meinen Abschied erkläre, sowie Updates zu den parteiübergreifenden Gruppenanträgen zur AfD Überprüfung und zur Legalisierung von Schwangerschaftsabbrüchen.
Kapitelmarken:
00:00:07 Intro 00:02:05 Einführung Open Source Software 00:11:23 Meine parl. Initiativen zu OSS 00:26:00 Anhörung OSS: Input Sachverständige 00:34:07 Anhörung OSS: OpenWashing, Bildung, Wirtschaft 00:41:25: Anhörung OSS: ZenDiS, Verw, IT-Sicherheit, „LOL“ 00:54:46 Update Bundestag 00:56:28 Update AfD-Überprüfung u §218 00:57:38 Update Streichung §218 01:00:25 Meine Letzte Rede u Ankündigung Abschied 01:03:48 Outro
„Wie wird erfasst beziehungsweise überprüft, ob im Nationalen Waffenregister als waffenbesitzend erfasste Personen verstorben sind und die Vorgaben des Waffengesetzes im Falle der Erbschaft (siehe www.bva.bund.de/SharedDocs/Downloads/DE/Buerger/Ausweis-Dokumente- Recht/Waffenrecht/Einzelerlaubnisse/merkblatt_erbwaffen.pdf) eingehalten werden (bitte auch zuständige Organisationseinheit(en) angeben), insbesondere dann, wenn durch die Erben kein waffenrechtliches Bedürfnis geltend gemacht werden konnte, und die geerbten Schusswaffen durch ein dem Stand der Technik entsprechendes Blockiersystem durch speziell eingewiesene Inhaber einer Waffenherstellungs- oder einer Waffenhandelserlaubnis oder durch entsprechend bevollmächtigte Mitarbeiter zu sichern sind und die erlaubnispflichtige Munition binnen angemessener Frist unbrauchbar zu machen oder einem Berechtigten zu überlassen ist (§ 20 Abs. 3 Satz 2 des Waffengesetzes – WaffG), und welche Kenntnis hat die Bundesregierung zu möglichen Größenordnungen verstorbener waffenbesitzender Personen beispielsweise durch Kenntnis von Stichprobenabfragen im Rahmen des National- Once-Only-Technical-Systems (NOOTs) und der Steuer-ID?“
Antwort der Bundesregierung vom 06.12.24:
„Der Vollzug des Waffengesetzes (WaffG) ist Ländersache. Die Meldebehörde übermittelt den Tod eines Erlaubnisinhabers nach § 44 Abs. 2 WaffG an die zuständige Waffenbehörde oder die Waffenbehörde erhält selbst Kenntnis vom Versterben der Person. Die Waffenbehörde speichert das Sterbedatum nach § 6 Abs. 1 Nr. 2 lit. i des Waffenregistergesetzes im Nationalen Waffenregister. Die Einhaltung des § 20 WaffG (Erwerb und Besitz von Schusswaffen durch Erwerber infolge eines Erbfalls) wird durch die Waffenbehörden gesichert. Die Bundesregierung hat keine Kenntnis zur Anzahl verstorbener waffenbesitzender Personen im Nationalen Waffenregister. Diese Zahl ist weder Bestandteil der Monatsstatistiken des Nationalen Waffenregisters, noch wurde diese Zahl im Rahmen des Pilotprojektes zur Registermodernisierung im Nationalen Waffenregister erhoben.“
„Warum sind diverse organisatorische Strukturen, darunter das Dateninstitut, das Beratungs- und Evaluierungszentrums für Künstliche Intelligenz (BEKI), die Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben (ABOS) und die Zentrale Stelle für die Erkennung ausländischer Informationsmanipulation (ZEAM) zum Teil schon seit mehreren Jahren „im Aufbau“ (bitte begründen, warum dieser Prozess so viel Zeit beansprucht), und wann sollen sie jeweils tatsächlich in ihrer finalen Rechtsbeziehungs-weise Organisationsform offiziell die Arbeit aufnehmen und nicht mehr nur „im Aufbau“ oder „in Gründung“ sein (bitte jeweils geplanten Zeitpunkt zum finalen Ausbau und die geplante Rechts- beziehungsweise Organisationsform angeben)?“
Antwort der Bundesregierung vom 08.11.24:
„Der zur Schaffung des Dateninstituts („DI“) für Deutschland gewählte Vergabeprozess eines sog. Wettbewerblichen Dialogs ist inzwischen weit fortgeschritten: Teilnahmewettbewerb, erste Dialogrunde und Überarbeitung der Vergabeunterlagen sind abgeschlossen, die Bieter überarbeiten derzeit ihre Lösungsvorschläge und nach einer oder maximal zwei weiteren Dialogrunden wird der Zuschlag erteilt und unmittelbar anschließend – nach aktuellem Stand im Mai / Juni 2025 – die eigentliche Gründung vollzogen. In Form einer Verprobung hat die Arbeit des DI jedoch bereits vor dem Vergabeprozess begonnen, nämlich mit dem Start der vorgelagerten Use Cases eines offenen Datenmodells zur Long-Covid-Forschung (Form: Challenge, geleitet durch das Bundesministerium des Innern und für Heimat [BMI]) und einem Testfeld und einer Konsultationsumgebung zur dezentralen Datennutzung in Energienetzen (In-House-Vergabe des Bundesministeriums für Wirtschaft und Klimaschutz [BMWK] an die Deutsche Energieagentur). Die letztendliche Rechtsform des DI wird derzeit im o. g. Dialog ausgehandelt. Im Moment des Zuschlags wird vertraglich festgelegt sein, dass der Regelbetrieb des DI nach einer bestimmten Anzahl von Monaten nach Zuschlag aufgenommen sein muss. Details hierzu können aus vergaberechtlichen Gründen hier nicht mitgeteilt werden. Die Hintergründe zum zeitlichen Verlauf des Vorhabens wurden durch die federführenden Häuser BMWK und BMI in Abständen auch öffentlich kommuniziert, u. a. bei einer großen Kick-Off-Veranstaltung am 10. April diesen Jahres: Nachdem die Haushaltsmittel zeitweilig durch den Deutschen Bundestag gesperrt gewesen waren, mussten zunächst die o. g. gemäß Vorgaben der Gründungskommission vor die formelle Gründung zu ziehenden Use Cases gestartet und das taugliche Vergabeverfahren für die eigentliche Gründung er- mittelt und vorbereitet werden, wozu auch zwei sogenannte Marktdialoge durchge- führt wurden.
Mit dem Beratungszentrum für Künstliche Intelligenz („BeKI“) im BMI soll eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung geschaffen werden. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenübergreifenden Austausch und die Vernetzung rele- vanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Dabei wird auf bereits gewonnenen Erfahrungen aufgebaut und werden etablierte Strukturen und Formate einbezogen, um diese durch koordinative Unterstützung des BeKI zu stärken. Der Aufbau des BeKI erfolgt durch die im BMI eingerichtete Projektgruppe Künstliche Intelligenz (PG KI). Für die Wahrnehmung der Gesamtaufgaben der PG KI sind im Jahr 2024 elf Vollzeitäquivalente eingeplant. Um einen unmittelbaren Mehrwert für die Bundesverwaltung sicherzustellen, führt die Projektgruppe KI im Rahmen des Aufbaus des BeKI bereits mehrere Pilotinitiativen durch. Die Einrichtung des BeKI steht in Abhängigkeit verfügbarer Haushaltsmittel und Stellen. Ein weiterer Aufbau des BeKI ist beabsichtigt.
Die Algorithmenbewertungsstelle für Organisationen und Behörden mit Sicherheitsaufgaben („ABOS“) soll die Unterstützung der Bundessicherheitsbehörden bei Fragen zu KI-Regulierung, sowie qualitätsgesicherter und vertrauenswürdiger KI zentralisieren. Insbesondere soll die ABOS bei der Umsetzung der KI-Verordnung (https://data.consilium.europa.eu/doc/document/PE-24-2024-INIT/de/pdf (https://atpscan.global.hornetsecurity.com/…)) der EU im sicherheitsbehördlichen Bereich wichtige Aufgaben im Sinne eines Kompetenzzentrums übernehmen. Dies umfasst beispielsweise:
Zentrale Beratung und Unterstützung für Sicherheitsbehörden des Bundes be- züglich der Umsetzung der KI-Verordnung sowie weiteren Themen zu KI-Re- gulierung und qualitätsgesicherter KI
Erstellung allgemeiner / zentraler Leitlinien und Frameworks für die Umset- zung der KI-Verordnung bei Sicherheitsbehörden des Bundes
Beobachtung von relevanten nationalen und internationalen Gremien zu KI- Regulierung, insbesondere einschlägige Standardisierungsgremien
Die ABOS soll daher nicht mit Plattformen oder nur zu spezifischen Plattformen arbeiten, sondern betrachtet die Anforderungen und die KI-Systeme der Sicherheitsbehörden individuell und ganzheitlich. Der Aufbau und die Konzeption einer solchen Stelle wird bis 2025 aus dem Paket der Bundesregierung zur Konjunktur- und Krisenbewältigung aus dem Jahr 2020 finanziert.
Die Bundesregierung hat eine Projektgruppe zum Aufbau einer Zentralen Stelle zur Erkennung ausländischer Informationsmanipulation („ZEAM“) im BMI eingerichtet, die vom Auswärtigen Amt (AA), dem Bundesministerium der Justiz (BMJ) und dem Presse- und Informationsamt der Bundesregierung (BPA) unterstützt wird. Die Projektgruppe hat am 1. Juni 2024 ihre Arbeit aufgenommen. Die Schaffung einer ressort-übergreifenden Stelle zur Erkennung von ausländischer Informationsmanipulation ist ein wichtiger Schritt, um den Schutz unserer demokratischen Grundordnung in diesem Sinne nachhaltig zu stärken. Ein weiterer Aufbau der ZEAM ist beabsichtigt.“
„Soll das BeKI weiterhin wie ursprünglich geplant, Beratungen und Evaluationen im Zusammenhang mit dem Einsatz von KI im Bund leisten, für den Marktplatz KI Anwendungen im Bund verantwortlich und als Koordinierungsstelle für KI im Bund zuständig sein (bitte jeweils bestätigen oder eingrenzen für die genannten Aufgabenbereiche und gegebenenfalls weitere Aufgaben ergänzen), und wie grenzen sich genau die Aufgaben des BeKI vom KI-Kompetenzzentrum der Bundesdruckerei GmbH ab (bitte als tabellarische Gegenüberstellung)?“
Antwort der Bundesregierung vom 05.11.24:
„Mit dem im Aufbau befindlichen Beratungszentrum für Künstliche Intelligenz („BeKI“) schafft das Bundesministerium des Innern und für Heimat (BMI) eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenüber-greifenden Austausch und die Vernetzung relevanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Das BeKI soll außerdem mit dem Markplatz der KI Möglichkeiten („MaKI“) eine Vernetzungsplattform für die Bundesverwaltung bilden und so einen transparenten Überblick über die bestehenden Projekte im Bereich der Künstlichen Intelligenz aufzeigen. Darüber hinaus koordiniert das BeKI das Angebot einer KI-Plattform zur Nutzung von Sprachmodellen (KIPITZ) und entwickelt KI-Leitlinien für die Bundesverwaltung. Im Rahmen der nationalen Umsetzung der KI-Verordnung und damit verbundener Marktüberwachungsstrukturen befindet sich der Aufgabenbereich Evaluation aktuell in Abstimmung.
Das KI-Kompetenz-Center der Bundesverwaltung (KI-KC) unterstützt bei der agilen Entwicklung nutzerzentrierter KI-Lösungen für und mit der Bundesverwaltung. Der Schwerpunkt der angebotenen Unterstützung liegt auf der technischen Umsetzungsdimension innerhalb von Proof-of-Values (PoVs) von KI-Anwendungen in der öffentlichen Verwaltung. Die an den PoV anschließende Produktentwicklung, beginnend mit Minimal Viable Products oder Piloten, liegt außerhalb des Verantwortungsbereiches des KI-KC.
Tabellarische Darstellung „Abgrenzung der Aufgaben des BeKI vom KI-Kompetenz-Center“:
„Wie viele der als Erfüllungsaufwand in der jeweiligen gesetzlichen Grundlage genannten Personalstellen wurden für die seit Anfang 2024 der Bundesnetzagentur (BNetzA) neu übertragenen oder noch zu übertragenden Aufgaben, die spätestens ab 2025 ganz oder teilweise von ihr zu erfüllen sind, für den Haushalt 2025 als Bedarf angemeldet und dort berücksichtigt (siehe Übersicht der neuen Aufgaben in der Antwort der Bundesregierung auf meine Schriftliche Frage 6 auf Bundestagsdrucksache 20/13317; bitte zu jeder neuen Aufgabe die dafür als Erfüllungsaufwand bestimmten, als Bedarf für den Haushalt 2025 angemeldeten und die dort berücksichtigten Stellen auflisten), und wie soll die BNetzA ihre neuen Aufgaben wahrnehmen, sollte es eine Diskrepanz zwischen dem Erfüllungsaufwand,den angemeldeten und den im aktuellen Haushaltsentwurf 2025 geplanten Haushaltsmitteln geben?“
Antwort der Bundesregierung vom 07.11.24:
„Die in der Bundestagsdrucksache 20/13317 genannten gesetzlichen Aufgaben sehen folgende stellenmäßige Haushaltsausgaben vor:
Für die EnWG-Novellen 2023 wurden im Haushalt 2024 bereits 15 Planstellen im Kapitel 0918 der Bundesnetzagentur (BNetzA) neu ausgebracht. Für das Digitale-Dienste-Gesetz (DDG), mit dem der Digital Service Act umgesetzt wurde, wurden im Haushalt 2024 15 Planstellen im Kapitel 0918 ausgebracht und darüber hinaus weitere 33 Planstellen wegen Aufgabenübergangs nach § 50 Bundeshaushaltsordnung vom Bundesamt für Justiz an die BNetzA umgesetzt. Entsprechend des Haushaltsaufstellungsrundschreibens des BMF zum Bundeshaushalt 2025 und des Finanzplans bis 2028 wurden im Regierungsentwurf für den Haushalt 2025 keine neuen Planstellen und Stellen ausgebracht. Folglich hat das Bundesministerium für Wirtschaft und Klimaschutz – aufgrund der entsprechenden Vorgaben des BMF – auch keine neuen Planstellen oder Stellen im Rahmen des Haushaltsaufstellungsverfahrens angemeldet. Ob im parlamentarischen Verfahren für den Haushalt 2025 neue Planstellen und Stellen ausgebracht werden und wenn ja, für welche Bereiche, obliegt der Entscheidung des Haushaltsgesetzgebers.
Aus einer möglichen Diskrepanz zwischen personellem Erfüllungsaufwand und etatisierten Stellen kann keine Schlussfolgerung auf die Aufgabenerfüllung gezogen werden. Häufig werden neue Aufgaben schrittweise umgesetzt, so dass nicht alle im Erfüllungsaufwand enthaltenen Stellen gleich zu Beginn zur Verfügung stehen müssen. Daher werden in der Regel neue Stellen in Tranchen über mehrere Haushaltsjahre ausgebracht. Ziel ist es dennoch immer, eine größtmögliche Effizienz in der Aufgabenwahrnehmung zu erreichen und gleichzeitig sicherzustellen, dass sowohl kurz- und mittelfristig als auch langfristig den Aufgaben genügend Personalressourcen zugeordnet sind. Dazu wird der bestehende Aufgabenbestand auch einer regelmäßigen Aufgabenkritik unterzogen.“
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Max Blumhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMax Blum2024-11-08 12:35:502024-11-08 12:38:15Meine Schriftliche Frage zu Personal für neue Aufgaben der BNetzA im Haushalt 2025
Screenshot: Antwort der Bundesregierung auf meine Kleine Anfrage
In einer aktuellen Kleinen Anfrage an den Bund habe ich viele Fragen rund um Microsoft, die Microsoft-SAP-Cloud („Delos-Cloud“), zu Abhängigkeiten, IT-Sicherheit, zur Digitalen Souveränität und vor allem zum konkreten Lobbyismus zwischen Bundesregierung, Microsoft und SAP gestellt und erhellende Antworten erhalten. Ein derartiges Ausmaß an Lobbyismus, also an Treffen auf höchsten Ebenen zwischen der Bundesregierung und großen Tech Firmen, ist mir noch nicht begegnet – 12 Mal war sogar Kanzler Scholz dabei, über 110 Treffen gab es in nur 2,5 Jahren. Aber bevor ich Euch die Antworten des Bundes beschreibe, erst mal ein bisschen zum Hintergrund. Wer sich nur für die Neue Kleine Anfrage interessiert,
springt am Besten direkt dorthin.
Monokulturen (wie Microsoft) in der IT sind ein strukturelles Risiko – und sehr teuer
Die Abhängigkeit von einigen US-Konzernen ist groß, steigt und diversifiziert sich. Das ist nicht nur teuer, sondern auch gefährlich. Monokulturen in der IT sind genauso ein strukturelles Risiko, wie Monokulturen in der Natur. Hier ein paar Fakten zur Einordnung:
Der laufende Rahmenvertrag des Bundes mit Microsoft hat ein Volumen von 1,3 Milliarden (!) Euro, er läuft im Mai 2025 aus
Neben MS Office nutzt der Bund viele weitere Dienste von Microsoft, darunter Outlook für Mails, Teams für Videokonferenzen, Co-Pilot als KI-Assistent und diverse Server und Clouddienste. Diese Abhängigkeiten verstärken sich gegenseitig! MS Office möchte Microsoft im Rahmen der Cloud-First-Strategie nur noch in der Cloud anbieten (Microsoft 365), aber es muss die Microsoft Cloud sein… Ein klassisches Beispiel für einen funktionierenden Lock-In Effekt. Verschiedene Microsoft Produkte werden stark miteinander integriert, während die Integration zu externen Diensten absichtlich begrenzt ist. Deshalb läuft das Office-Paket Microsoft 365 auch auf keiner fremden Cloud.
Seit Jahren steigen die Kosten des Bundes für Microsoft Lizenzen und Dienstleistungen, von 2017 bis 2023 ein Plus von 270 Prozent, rund 200 Millionen Euro flossen allein in 2023 aus dem Bundeshaushalt an das US-Unternehmen.
Bund versucht, Abhängigkeit von Microsoft zu verschleiern
Die Transparenz zur Abhängigkeit und ihren Kosten ist inakzeptabel schlecht. Meine Kleine Anfrage zum Stand von Open Source im Bund vom Dezember 2023 ergab nicht nur die hohen Volumen für Rahmenverträge, sondern auch, dass frühestens 2024 ein Lizenzmanagement des Bundes eingesetzt wird – der Bund weiß also gar nicht, wo er genau was für Software einsetzt.
Aber was bezahlt wurde, das ist bekannt und wird Jahr für Jahr von meinem MdB Kollegen, dem Haushaltspolitiker Victor Perli, abgefragt. In diesem Jahr wurden zum ersten Mal vom Bund die Antworten nach den Ausgaben für Microsoft Lizenzen als VS-NfDeingestuft, was bedeutet hätte, dass ich die o.g. Kosten von 200 Mio Euro gar nicht hätte verraten dürfen. Erst nach einer Beschwerde wurde die Einstufung aufgehoben. So ein Vorgehen ist unwürdig, beschränkt sowohl die parlamentarische Arbeit als auch die öffentliche Debatte zu einem Thema, das selbst die Ampel zu einer Priorität erklärt hat: Digitale Souveränität.
Leere Versprechen: Kaum Open Source im Bund, Milliarden für Großkonzerne
Im Koalitionsvertrag stand noch: „Entwicklungsaufträge für Software beauftragen wir im Regelfall als Open Source“, die im vorherigen Abschnitt verlinkte Kleine Anfrage von mir ergab jedoch einen großen Widerspruch: nur lächerliche 0,5% Dienstleistungen im Zusammenhang mit Software entfielen in der aktuellen Legislatur auf Open Source, bei einem Gesamtvolumen von mind. 3,5 Mrd €, und für Entwicklungsaufträge hat z.B. das BMDV auch nur 0,5% seiner Gesamtausgaben von 22 Mio € für die Entwicklung von Open Source-Software beauftragt. Alle Details dazu, finden sich in meiner Berichterstattung vom Dezember 2023.
Daran wird sich auch nichts ändern, denn die mickrigen Budgets für Open Source wurde schon im aktuellen Haushalt gekürzt und sollen im Haushalt 2025 noch einmal kräftig zusammengestrichen werden, dazu gleich mehr. Die Ausgaben für gigantische Rahmenverträge steigen jedoch Jahr für Jahr. Oracle: 4,6 Milliarden € Rahmenvertrag, SAP: 700 Millionen Euro Rahmenvertrag, der Microsoft Rahmenvertrag wird gerade verhandelt, der aktuelle umfasst 1,2 Milliarden €.
Abhängigkeit von Microsoft – ein Risiko für IT-Sicherheit und Daten
Auch im Digitalausschuss befassten wir uns mit der mangelhaften IT-Sicherheit von Microsoft, insbesondere mit drei sehr großen Sicherheitsvorfällen (das war noch vor Crowdstrike) allein aus den letzten 12 Monaten. US-Berater des Präsidenten stellten fest, dass Microsoft der IT-Sicherheit zu wenig Priorität einräumt und damit selbst zum Sicherheitsrisiko wird. Dabei stellte sich heraus, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar Rechtswege gegen Microsoft beschreiten musste, um an sicherheitsrelevante Informationen heranzukommen, die die Nutzung von Microsoft Cloud Diensten betreffen. Der US-Kongress hat die Nutzung des Microsoft Co-Pilot wegen Sicherheitsrisiken sogar ganz verboten.
Der EU-Datenschutzbeauftragte kritisierte, dass die Nutzung von Microsoft 365 rechtswidrig sei und ein Bruch der Datenschutzverordnung für EU-Institutionen. Die deutsche Datenschutzkonferenz warnte in 2023: “Rein vertragliche Maßnahmen genügen in der Regel nicht, auch wenn die Datenverarbeitung regelhaft ausschließlich im Europäischen Wirtschaftsraum erfolgt” (um einen Zugriff auf die Daten durch US-Behörden zu verhindern).
Ein von mir beauftragtes Gutachten des Wissenschaftlichen Dienstes stellte fest: wirkliche Sicherheit gegen Zugriffe von US-Geheimdiensten auf Daten, die mit Software von US-Unternehmen oder ihren Töchtern verarbeitet werden, gäbe es nur bei einer effektiven technischen Trennung. Ob es eine solche Trennung überhaupt geben kann, z.B. weil ja irgendwie Updates von Microsoft auf die in Deutschland bei Deutschen Unternehmen gehosteten Server kommen müssen, habe ich daher auch in der vorliegenden Kleinen Anfrage erfragt.
Noch ist die Datenverarbeitung rechtssicher auch bei Datenübermittlung in die USA möglich – solange ein für wahrscheinlich anzunehmendes Schrems III-Urteil nicht das neueste US-EU Data Privacy Framework (Privacy Shields 2.0) kippt. Ich würde keinen Cent dagegen wetten. Unabhängig davon bestehen Risiken auch wegen des CLOUD-Acts, der Herausgabepflichten auch von ausschließlich in Europa verarbeiteten und gespeicherten Daten regelt. Solange die US-Rechtslage so bleibt, dass sie die Menschenrechte nur für US-Bürger*innen, nicht aber für EU-Bürger*innen verankert sind, bleibt klar: Sicherheit geht nur mit weniger Abhängigkeit von Microsoft.
Kl. Anfrage zu Microsoft + Delos-Cloud – wichtigste Erkenntnisse
Kanzler meets SAP CEO –73 Lobbytreffen zwischen Bund und SAP
In a Nutshell: Es gab extrem viele Kontakte zwischen den höchsten Ebenen des Bundes und von SAP
Bei 63 Terminen seit 2022 gab es mehr als 73 Kontakte zw. Bund u SAP, davon entfielen 44 allein auf das BMI (15), Kanzleramt u Bundespresseamt (15) und BMF (14)
19 Mal ging es dabei explizit um Delos Cloud – in 2024 bei 9 von 15 Terminen (60%)
10 Mal war der Kanzler selbst dabei, 20 Mal Minister:innen und 13 Mal die Spitzen von Behörden, darunter 9 Mal der/die Präsident:in des BSI (Sicherheitsfragen spielten offenbar eine wichtige Rolle und das ist eine gute Nachricht), 38 Mal waren Staatssekretär:innen präsent
auch auf Seiten SAP nahmen 51 Mal höchste Führungsebenenteil – CEO/ Vorstandsmitglieder/ Geschäftsleitung/ Vicepresident/ Senior Vice President beteiligt, darunter 3 mal der CEO der Delos Cloud GmbH, und erstaunliche 20 Mal der SAP CEO selbst. Man erkennt, es geht um viel Geschäft.
Massiver Lobbyismus: 50 Treffen zwischen Bund und Microsoft
Hoher Lobbydruck und sehr enge Beziehungen gibt es auch zwischen Microsoft und Bund
Mehr als 50 Mal trafen in den letzten 2,5 Jahren höchste Ebenen des Bundes mit höchsten Ebenen von Microsoft zusammen
23 Mal ging es dabei um das Thema Cloud, in 2023 war das bei mehr als der Hälfte aller Termine der Fall.
Über 60 Mal war dabei höheres Management von Microsoft vertreten – vom General Manager über Senior Vice Präsidenten oder den CEO Global und die Deutschlandchefin von Microsoft (16 Mal).
Fast 70 Mal schüttelten die Unternehmensvertreter:innen die Hände hoher Bundesbeamter, von Staatsekretär:innen (10), den Spitzen von Bundesbehörden (19), von Minister:innen (18) oder die des Kanzlers (2 Mal). 9 Mal war Robert Habeck dabei.
Kanzler und BMI lobbyieren massiv für Delos-Cloud
Die Bundesregierung bestätigt in ihrer Antwort auf meine Kleine Anfrage: Kanzler Scholz machte am 20.6.24 die Delos Cloud bei der Ministerpräsidentenkonferenz zum Thema. Das ist schon erstaunlich, denn bisher interessierte sich Scholz nullkommanix für digitale Themen.
Außerdem: Die direkt danach und ultrakurzfristig für den 27.6.24 anberaumte Sondersitzung des IT–Planungsrates war eindeutig eine Folge dieser MPK (Frage 9) und es ging dabei nur um die Delos Cloud. Dort wurde ein Beschluss diskutiert, in dem das “gemeinsame Interesse” und der “Mehrwert einer gemeinsamen Nutzung” der Delos-Cloud festgehalten werden sollte. Ein solches “gemeinsames Interesse” sei relevant für Investitionsentscheidungen von Seiten Microsoft, Delos und der Delos-Eigentümerin SAP. Der Bund denkt also weniger an IT-Sicherheit oder effiziente Steuermittelverwendung oder an sein Versprechen, vor allem Open Source einzusetzen, sondern macht sich vor allem um die Profitabilität von SAP und Microsoft Gedanken. Der Kanzler und das BMI machen sich damit zum langen Arm des Vertriebes großer IT-Unternehmen.
Kurz vor der MPK beehrte Kanzler Scholz übrigens den Gründer von SAP Hasso Plattner bei dessen Abschiedsfeier…Honni soit, qui mal y pense (Ein Schelm, wer Böses dabei denkt?).
Kein Schritt in Richtung digitale Souveränität – im Gegenteil!
Bisher hat die Bundesregierung keinerlei Zusicherung von Microsoft, dass weiterhin On-Premise Lösungen für die Bundesverwaltung angeboten werden können (Frage 6)
Im Gegenteil: die Ampel geht selbst davon aus, dass sich die angekündigte “Cloud-first-Strategie” von Microsoft auch konkret auf die bisher On-Premise genutzten Lösungen in der Bundesverwaltung bezieht (siehe Vorbemerkungen der Bundesregierung in ihrer Antwort)
Trotzdem werden die Abhängigkeiten geleugnet und das Erpresserpotenzial heruntergespielt, z.B. schreibt die Bundesregierung einerseits, ihr Interesse an der Delos Cloud hätte nichts mit Abhängigkeiten von Microsoft zu tun (Frage 12) und erklärt andererseits, dass die geplante Weiterentwicklung des IT-Arbeitsplatzes (mit Microsoft Exchange) eine Anbindung an die Microsoft Cloud (Azure) erforderlich mache (Frage 6).
Abhängigkeiten zu US-Konzernen und IT-Sicherheitsrisiken hat die Ampel offenbar generell nicht hinreichend im Blick: Erst vor kurzem zeigte eine Kleine Anfrage von mir auf, dass der Bund extrem abhängig vom US-Konzern Broadcom ist, weil deren Produkt „VMware“ in der IT des Bundes mit heftigem Lock-In-Effekt verankert ist und Open Source-Alternativen nicht forciert wurden.
Bund weiß nicht, ob Delos-Cloud sicher und rechtskonform ist
Klipp und klar steht in der Antwort der Bundesregierung, dass noch völlig offen ist, ob die Delos Cloud sicher und rechtskonform verwendbar ist
Denn das wird immer noch geprüft (Frage 8a/b; 16), der Ausgang dieser Prüfung sei “offen”. Interessant ist dabei, dass bereits im Juni 2024 ein neuer Rahmenvertrag mit SAP geschlossen wurde, dessen Volumen mit 700 Mio € dreimal so hoch ist wie der Vorgänger-Rahmenvertrag, der auch Cloud Lösungen umfasst.
Die Open Source Business Alliance hatte in einem offenen Brief vor den Risiken der Delos-Cloud gewarnt und auf datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Risiken hingewiesen. Der Bund erklärt nun auf Nachfrage, dass man diese Bedenken zwar teile, aber dass sie nicht zu einer Infragestellung der Delos-Cloud führen würden. Auch da gibt es unauflösbare Widersprüche, denn der Bund teilt gleichzeitig mit, dass eine Nutzung der Microsoft Cloud vom positiven Ergebnis des laufenden “Prüfauftrages” des IT-Rats abhängig sei, der die Themen Informationssicherheit, Datenschutz und Geheimschutz hoch priorisiere. Der Widerspruch löst sich nur dann auf, wenn das Ergebnis des Prüfauftrages bereits vorab feststeht und die Bedenken ausräumt.
Abgeschottete Cloud? Nope! Direkte Netzverbindung zu Microsoft bestätigt!
Das Hauptargument für die Delos-Cloud ist bisher, dass sie die Microsoft Azure Cloud in Deutschland und im Rechenzentrum eines deutschen Unternehmens, der 100%igen SAP Tochter Delos Cloud GmbH betreibt und damit die technische Trennung vor einem Zugriff von US-Geheimdiensten auf deutsche Daten schützt. Laut Gutachten des Wissenschaftlichen Dienstes des Bundestages ist nur eine echte technische Barriere gegen jeden Zugriff von US-Behörden über zur Kooperation verpflichtete US-Unternehmen wirklich sicher. Nun gibt die Bundesregierung in ihrer Antwort zu: eine direkte Netzverbindung zwischen der Delos-Cloud und Microsoft ist zwingend erforderlich (Frage 14a), weil regelmäßig Updates eingespielt werden müssen! Und das hat natürlich Auswirkungen auf die Sicherheit, denn so ist nie ganz überprüfbar, was an Updates von Microsoft eingespielt wird. Auch die Sicherheit dieser Verbindung untersucht übrigens das “Prüfungsprojekt des Bundes”.
Sicherheit spielte offensichtlich bei vielen hochrangigen Gesprächen eine wichtige Rolle, das zeigt auch, dass 20 Mal der Präsident bzw. die Präsidentin des BSI bei Gesprächen mit Führungskräften von Microsoft (11 Mal) und SAP (9 Mal) dabei war. Dabei ging es jedoch auch um andere Sicherheitsprobleme bei Microsoft.
Funfact: die Bundesregierung erklärte auch, die No-Spy-Klausel gäbe es nur für “Gewährleistungsansprüche im Schadensfall”, deshalb unterschreiben diese zwar alle Vertragspartner, aber überprüft wird da nix (Frage 18c).
Damit bleiben US-gesetzliche Herausgabepflichten von Kundendaten, über deren mögliche praktische Anwendung die die US-Unternehmen übrigens schweigen und im Ernstfall sogar lügen müssen, ein reales Risiko, z.B. könnten über Updates Hintertüren eingebaut werden.
Bund hofft auf Einsparungen, kommen werden höhere Kosten
Es ist geradezu putzig. Die Bundesregierung gibt Jahr für Jahr mehr Geld aus für Microsoft Lizenzen und hofft nun, durch die Nutzung ZUSÄTZLICHER Produkte von Microsoft (nämlich die Azure Cloud, verwendet von SAP) künftig Geld einsparen zu können (Frage 11). Damit ignoriert sie außerdem die erwartbaren Mehrkosten, denn Kostensteigerung durch Mietmodelle u lock-in-Effekte sind häufig.
Gleichzeitig legt die Bundesregierung einen unfassbaren Anti-Souveränitäts Haushalt 2025 vor und kürzt bei allem, was für Alternativen zu Microsoft wichtig wäre: z.B. beim Zentrum für Digitale Souveränität (ZenDiS) und der FITKO. Die Mittel für das ZenDiS wurden von 2023 auf 2024 bereits von etwa 50 Millionen auf weniger als 25 Millionen € gekürzt. In 2025 soll das ZenDiS nur noch 2,7 Mio € enthalten (Haushaltsentwurf 2025) – das ist eine Kürzung um fast 90%. Das ZenDiS soll übrigens die Alternative zu Microsoft Office entwickeln, die OpenDesk heißt, und neben klassischer Office Software auch Open Source Varianten für Videokonferenzen, Mail, Cloudspeicher und Messenger enthält. OpenDesk sollte ab 2025 „breitflächig“ im Bund ausgerollt werden. Das wird wohl kaum möglich sein mit einem solchen Budget. Wir erinnern uns: in 2025 läuft auch der Microsoft Rahmenvertrag aus und wird erneuert, dann aber vermutlich in Verbindung mit der Delos-Cloud, weil es nur noch die Cloud-Variante geben wird. Open Source würgt man finanziell ab, damit Großkonzerne noch mehr Geschäft machen können und die Abhängigkeiten weiter steigen.
Wirklich Geld sparen könnte der Bund, wenn endlich ordentlich in Open Source Alternativen investiert würde, denn damit gäbe es ein echtes Ausstiegsszenario aus der extremen Abhängigkeit von Microsoft, die den Bund jährlich hunderte von Millionen Euro kostet.
Delos-Cloud konterkariert deutsche Verwaltungscloudstrategie
Im Koalitionsvertrag steht wörtlich: “Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.” Meine Frage nach Widersprüchen zwischen den Transparenzvorgaben der Verwaltungscloudstrategie (DVS) und einer Microsoft-basierten Delos-Cloud, beantwortete die Bundesregierung inhaltlich überhaupt nicht (Frage 8d). Stattdessen behauptete sie einfach, man setze die Verwaltungscloudstrategie um.
Dazu kann ich nur feststellen: Wer derart massiv für eine “gemeinsame” Nutzung der Delos (=Microsoft) Cloud wirbt, setzt keineswegs eine Multicloud-Strategie um. Außerdem entspricht das nichtdem erklärten Vorrang für eine Open Source Cloud, der explizit in der Deutschen Verwaltungscloudstrategie formuliert ist.
Völlig irre finde ich die Antwort der Bundesregierung auf meine Frage, ob die Delos Cloud der grundsätzlichen Beauftragung von Entwicklungsaufträgen als Open Source Software nicht widerspricht. Sie verweist nämlich nur auf den rein theoretischen Vorrang von Open Source im neuen eGovernment Gesetz, weicht also eigentlich nur aus. Ganz praktisch ist die Delos Cloud genau null Open Source und ganz praktisch werden nur 0,5 Prozent der Software Entwicklungsaufträge des Bundes als OSS beauftragt (siehe meine Kleine Anfrage 20/9417). Man könnte auch argumentieren, Delos sei letztlich ein Produkt von SAP und deshalb kein Software-Entwicklungsauftrag der Verwaltung, aber die Delos-Cloud wird extra für den Einsatz in der öffentlichen Verwaltung entwickelt und insbesondere für den Bund, aber Open Source hat vermutlich trotzdem bei all den zig Lobbyterminen mit SAP und Microsoft niemand aus der Bundesregierung je angesprochen und gefordert. Der Bund hat schlicht keinen Bock auf Open Source.
Durchblick? Lizenzmanagement Tool kommt erst noch
Teil des Problems ist, dass nicht mal der Bund selbst weiß, welche Software Lizenzen er besitzt und/oder welche davon die Behörden nutzen. Ich habe seit Jahren immer wieder nachgefragt, auch in dieser Kleinen Anfrage. Und siehe da, endlich wird ein Software Lizenzmanagement Tool des Bundes ausgerollt, aber erst jetzt und erst mal nur für vier Behörden.
Bis Ende 2024 kommt das Lizenzmanagement für zwei Ministerien und zwei Bundesbehörden (Bundesarchiv und Eisenbahnbundesamt), Mitte 2025 sollen fünf, bis Ende 2025 drei weitere Behörden dazukommen, darunter drei Ministerien. Ob es danach weiter geht, hängt laut Antwort der Bundesregierung „von der Haushaltslage“ ab. Das läßt nichts Gutes ahnen.
Transparenz ist elementar für gute Staatsführung, nach innen und nach außen, sie muss deutlich höhere Priorität genießen!
Das war meine Analyse der Kleinen Anfrage, nachfolgend gibts noch Pressestatements von mir dazu und darunter – ganz am Ende – gibts die Links zu den Antwort Dokumenten der Bundesregierung und weitere interessante Quellen.
Meine Pressestatements zur Kleinen Anfrage Microsoft / Delos-Cloud
Zusammenfassend:
„Die extreme Kontaktdichte zwischen hochrangigen Regierungsvertreter:innen und höchsten Repräsentant:innen von SAP und Microsoft in den letzten zwei Jahren wirft Fragen auf und ein schlechtes Licht auf die Bundesregierung, denn obwohl sie zugibt, dass es noch jede Menge offener Fragen zur sicheren Verwendung der Microsoft Cloud unter dem Dach der SAP-Tochter Delos gibt, wurde bereits im Juni ein aufgeblähter Rahmenvertrag mit SAP für ihren Einkauf abgeschlossen, und machte Kanzler Scholz auf der MPK und Nancy Faesers Staatssekretär auf einer Sondersitzung des IT-Planungsrates Werbung für die Delos Cloud bei den Bundesländern.
So stärkt die Bundesregierung die von ihr immer wieder wortreich angestrebte Digitale Souveränität Deutschlands nicht, sie wird im Gegenteil drastisch geschwächt. Denn wenn das Buddy-System des Dreigestirns aus Bundesregierung und dem Topmanagements bei SAP und Microsoft dazu führt, dass die auf Open Source setzende Deutsche Verwaltungscloud Strategie munter ignoriert und eine Microsoft Cloud im Delos Mantel zur Haupt-Cloud staatlicher Stellen werden kann, führt das direkt zu noch mehr Abhängigkeiten von Microsofts proprietärer Software.
Derart extreme Abhängigkeiten sind auch mit extremen Risiken verbunden: mit Erpressbarkeit bei steigenden Preisen, unkalkulierbaren Sicherheitsrisiken und noch weiter eingeschränkter Flexibilität, weil das Microsoft Universum faktisch zementiert und ständig erweitert werden wird und Open Source Alternativen künftig noch weniger integrierbar sind. Mit einer Umsetzung des Koalitionsvertrags oder der Digitalstrategie hat diese Entwicklung wenig zu tun. Das ist kurzsichtig und gefährdet die Souveränität der IT in Bund und Ländern.“
Zum Lobbyismus:
„Ich kann mich aus meinen sieben Jahren im Bundestag an keine einzige Abfrage zu Lobbytreffen zwischen Bund und Vertreter:innen der Wirtschaft erinnern, bei der eine derart hohe Zahl bilateraler Treffen auf derart hohem hierarchischen Level stattgefunden hat, wie zwischen dem Bund und den Unternehmen SAP und Microsoft in den letzten ca. 2,5 Jahren. Da geht ein Bundeskanzler 10 Mal zu SAP und Minister Robert Habeck neun Mal zu Microsoft, ingesamt waren 38 Mal Minister:innen und 48 Mal Staatssekretär:innen bei 113 Terminen mit SAP oder Microsoft dabei. Über 60 Mal waren höchste Management Ebenen von Microsoft präsent, über 50 Mal die von SAP, allein der CEO von SAP war 20 Mal zugegen, die Deutschland Chefin von Microsoft 16 Mal.
Bei 33 Treffen ging es dabei explizit um Cloud Dienste. Wie viele Treffen hat es wohl gegeben, mit Anbietern von wirklich souveränen Cloud Lösungen, die auf Open Source basieren? Wie neutral wird eine Entscheidung mit langfristigen Folgen, sowohl für die künftige IT-Architektur als auch für Kosten, Flexibilität und Integrationsfähigkeit getroffen werden können, wenn es so viele Lobbytermine mit den Anbietern einer ganz bestimmten Lösung gibt, zu denen bereits extrem hohe Abhängigkeiten bestehen? Es liegt doch nahe, dass bei derart geballter Firmenrepräsentanz, wo vom Global CEO bis zu General Managern und Senior Vice Presidents alles aufgefahren wird, was an hierarchischer Prominenz aufzubieten ist, mit vielen Topjurist:innen und Marketing Expert:innen jeder Kritik der Wind aus den Segeln genommen und mit vielen blumigen Erklärungen das Blaue vom Himmel herunter versprochen wird – ohne dass es hinreichend Gelegenheiten gibt, Gegenargumente auf den Tisch zu legen.
Und so sah sich auch die Open Source Business Alliance genötigt, einen offenen Brief an die Bundesregierung zu schreiben. Denn für Unternehmen, die Alternativen zu proprietärer Software in Deutschland entwickeln, auch im Bereich Cloud Dienste, haben Kanzler, Minister, Behördenleitungen und ihr Gefolge aus Staatsekretär:innen keine auch nur ansatzweise vergleichbare Aufmerksamkeit übrig. So bleibt die Bevorzugung von Open Source durch den Bund eine Sprechblase der Ampel-Regierung, die nicht nur im Koalitionsvertrag, sondern auch in der Verwaltungscloudstrategiesteht, aber in der Realität weiterhin nicht stattfindet.“
Zum Mangel an digitaler Souveränität:
“Nicht müde wird die Bundesregierung, auf die Notwendigkeit einer digitalen Souveränität hinzuweisen, denn Abhängigkeiten sind gefährlich und einseitige Abhängigkeiten sind es doppelt. Da ist eine IT-Landschaft durchaus vergleichbar einem Ökosystem in der Natur, bei dem Monokulturen erheblich anfälliger sind als ein Ökosystem, in dem mehr Vielfalt herrscht.
Die flächendeckende Abhängigkeit des Bundes von Microsoft wurde häufig kritisiert, wächst aber weiter an, sie diversifiziert sich und umfasst längst nicht mehr nur klassische Office-Anwendungen, sondern u.a. auch Maildienste (Outlook), Videokonferenzsysteme (Teams), KI-Dienste (Co-Pilot), Serversoftware oder Cloud-Dienste. Abhängigkeiten von einem Produkt bedingen häufig neue Abhängigkeiten, so verfolgt Microsoft eine Cloud First Strategie und will auch Office Anwendungen künftig nur noch in der Cloud anbieten, aber nicht in irgendeiner Cloud, sondern in der Microsoft Cloud.
Seit Jahren wird vor den Konsequenzen gewarnt, nicht nur vom Rechnungshof, der die stetig steigenden Lizenzausgaben kritisiert. In 2023 floss schon jeder sechste Bundes-Euro, der für Software Lizenzen und Services ausgegeben wurde, an Microsoft – mehr als 200 Millionen Euro. Transparenz zum Grad der Abhängigkeit von Microsoft gibt es nicht, sie ist auch nicht erwünscht, denn erstmalig versuchte in diesem Jahr die Bundesregierung, ihre Antwort auf die jährliche Abfrage der Lizenzausgaben durch meinen MdB Kollegen Viktor Perli als VS-NfD einstufen zu lassen, damit sie in der öffentlichen Debatte nicht verwendet werden kann, was nur eine formelle Beschwerde verhinderte. Nicht einmal im Bund gibt es hinreichend Transparenz, denn ein flächendeckendes, verbindliches Lizenzmanagement gibt es nicht. Erst im Laufe des Jahres sollen die allerersten Bundesbehörden ein Software-Lizenzmanagement Tool nutzen können, es befindet sich noch im Roll-out.
Wie viel, oder besser wie wenig Open Source Software eine Rolle spielt, hat daher auch erst eine Kleine Anfrage von mir ans Licht gebracht. Während im Koalitionsvertrag noch versprochen wurde, dass “im Regelfall” Softwareentwicklungen als Open Source beauftragt werden, kam heraus, dass in den ersten beiden Jahren der Ampelregierung nur lächerliche 0,5 Prozent der 3,5 Milliarden Ausgaben für IT-Dienstleistungen im Zusammenhang mit Software auf Open Source Software entfielen und ausgerechnet das Digitalministerium von 22 Mio € Kosten für Softwareentwicklungen ebenfalls nur 0,5 Prozent davon für Open Source ausgab. Der Regelfall ist nicht offene Software, sondern proprietäre, da hat sich mit der Fortschrittskoalition jenseits der Rhetorik leider absolut nichts geändert.”
Zu fehlgelenkten Haushaltsmitteln:
“Mit dem anstehenden großen ‘Gang in die Cloud’ könnten viele Karten neu gemischt werden, aber nicht beim Bund, der bleibt lieber beim Alten, also bei Microsoft. Wie ernst das Gerede von der digitalen Souveränität wirklich gemeint ist, merkt man spätestens am Geld, und das fließt sehr einseitig. Auch Investitionen in Alternativen wie den Open Source Arbeitsplatz des Bundes, OpenDesk, werden zwar sogar international angepriesen, aber trotzdem finanziell ausgebremst.
Haushaltsmittel sollen steuernd wirken, das tun sie auch bei diesem Thema, nur leider in die falsche Richtung. Auch derHaushaltsentwurf für 2025 ist ein Verrat an der digitalen Souveränität, denn alles was das Potenzial hatte, die Unabhängigkeit der Bundes-IT von proprietären SoftwareW-Anbietern zu verringern, bekam besonders empfindlich Christian Lindners Rotstift zu spüren. Am krassestens trifft es das Zentrum für digitale Souveränität selbst, das unter anderem.a. OpenDesk weiterentwickeln soll, dessen ohnehin unzulänglichen Mittel von gut 20 Millionen Euro in 2024 auf künftig nur noch 2,7 Millionen schrumpfen sollen. Vielleicht hat deshalb der ZenDiS Geschäftsführer hingeschmissen. Wer kann schon mit so einem eklatanten Widerspruch von Anspruch und Wirklichkeit sinnvoll arbeiten. Auch der FITKO sollen die Haushaltsmittel von 43 Mio auf knapp 10 Mio gekürzt werden, obwohl die FITKO eine wesentliche Rolle bei der digitalen Souveränität spielt, Standards entwickeln und pflegen und für den dauerhaften Betrieb der deutschen Verwaltungscloud zuständig sein soll. Mehr Verachtung kann man dem Thema Open Source und Digitale Souveränität kaum entgegenbringen.”
Zur Sicherheit der Delos Cloud:
“Das jahrelange und ungewöhnlich intensive Engagement der Bundesregierung für eine Bundes-Cloud auf Basis von Microsoft Technologie erstaunt insbesondere in Anbetracht der Tatsache, dass es bis heute keine abgeschlossene Prüfung der Delos Cloud gibt, die ihre Unbedenklichkeit vor allem hinsichtlich der Informationssicherheit, des Datenschutzes und des Geheimschutzes feststellt. Die Prüfungen laufen immer noch, wie lange weiß man nicht, ihr Ausgang soll laut Bundesregierung offen und der Einsatz der Delos Cloud davon abhängig sein. Aber wie offen ist diese Prüfung wirklich, wenn der gerade erst im Juni abgeschlossene Rahmenvertrag mit SAP plötzlich dreimal so viel Volumen – ca. 700 Mio Euro – wie sein Vorgängervertrag umfasst, aber dafür die Delos-Cloud mit abdeckt? An Zufälle glaube ich da nicht und die Bundesregierung gibt ja auch in ihrer Antwort selbst zu, dass die Kritik der OSBA, die auf die gerade in Prüfung befindlichen Sicherheitsrisiken hinwies, nicht zu einer Infragestellung der Delos Cloud führen würde. Immerhin nimmt das BSI das Thema ernst und zwar auf höchster Ebene, 20 Mal waren der Präsident des BSI und seine Nachfolgerin Claudia Plattner bei Terminen mit Microsoft und SAP dabei.
Brisant ist jedoch, dass die Bundesregierung zugeben musste, dass die Microsoft Azure Technologie keineswegs quasi abgeschottet in Rechenzentren der SAP Tochter Delos laufen kann, was eine technische Barriere sein sollte, um Datenabflüsse Richtung US-Geheimdienste zu verhindern, denn US-Gesetze können US-Firmen weiterhin zum heimlichen Ausspähen von Daten ihrer Kunden zwingen. Nun bestätigte die Bundesregierung: Auch wenn die Azure Cloud im Rechenzentrum von Delos läuft, müssen die dortigen Server über eine Netzwerkverbindung mit den Servern von Microsoft direkt verbunden sein, denn anders lassen sich die notwendigen Updates gar nicht einspielen.
Aber wo es derartige Verbindungen mit Software Updates gibt, kann auch nicht ausgeschlossen werden, dass aus der Ferne absichtlich Sicherheitslücken als Hintertüren eingebaut werden. Auf das Ergebnis der andauernden Sicherheitsprüfung und die darin verwendeten Argumente bin ich daher sehr gespannt.
Aus meiner Sicht sollte man als Regierung eines europäischen Landes auf die Abhängigkeit von US-Konzernen komplett verzichten, das schaffen schließlich auch andere Mitgliedsstaaten der EU. Was es dafür braucht, ist eine umfassende Exit-Strategie, eine Priorisierung und ausreichende Förderung bereits verfügbarer Alternativen und vor allem eins: ‘Walk the Talk!’ – Also eine Bundesregierung, die ihre Versprechen und Vorgaben von Koalitionsvertrag bis zur Verwaltungscloud-Strategie endlich umsetzt und einhält.”
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2024-09-23 09:01:552024-09-23 09:01:58über 100 Treffen mit Microsoft und SAP – Lobby gefährdet Digitale Souveränität
