Screenshot: Antwort der Bundesregierung auf meine Kleine Anfrage

In einer aktuellen Kleinen Anfrage an den Bund habe ich viele Fragen rund um Microsoft, die Microsoft-SAP-Cloud („Delos-Cloud“), zu Abhängigkeiten, IT-Sicherheit, zur Digitalen Souveränität und vor allem zum konkreten Lobbyismus zwischen Bundesregierung, Microsoft und SAP gestellt und erhellende Antworten erhalten. Ein derartiges Ausmaß an Lobbyismus, also an Treffen auf höchsten Ebenen zwischen der Bundesregierung und großen Tech Firmen, ist mir noch nicht begegnet – 12 Mal war sogar Kanzler Scholz dabei, über 110 Treffen gab es in nur 2,5 Jahren. Aber bevor ich Euch die Antworten des Bundes beschreibe, erst mal ein bisschen zum Hintergrund. Wer sich nur für die Neue Kleine Anfrage interessiert, springt am Besten direkt dorthin.

Monokulturen (wie Microsoft) in der IT sind ein strukturelles Risiko – und sehr teuer

Die Abhängigkeit von einigen US-Konzernen ist groß, steigt und diversifiziert sich. Das ist nicht nur teuer, sondern auch gefährlich. Monokulturen in der IT sind genauso ein strukturelles Risiko, wie Monokulturen in der Natur. Hier ein paar Fakten zur Einordnung:

  • Der laufende Rahmenvertrag des Bundes mit Microsoft hat ein Volumen von 1,3 Milliarden (!) Euro, er läuft im Mai 2025 aus
  • Neben MS Office nutzt der Bund viele weitere Dienste von Microsoft, darunter Outlook für Mails, Teams für Videokonferenzen, Co-Pilot als KI-Assistent und diverse Server und Clouddienste. Diese Abhängigkeiten verstärken sich gegenseitig! MS Office möchte Microsoft im Rahmen der Cloud-First-Strategie nur noch in der Cloud anbieten (Microsoft 365), aber es muss die Microsoft Cloud sein… Ein klassisches Beispiel für einen funktionierenden Lock-In Effekt. Verschiedene Microsoft Produkte werden stark miteinander integriert, während die Integration zu externen Diensten absichtlich begrenzt ist. Deshalb läuft das Office-Paket Microsoft 365 auch auf keiner fremden Cloud.
  • Seit Jahren steigen die Kosten des Bundes für Microsoft Lizenzen und Dienstleistungen, von 2017 bis 2023 ein Plus von 270 Prozent, rund 200 Millionen Euro flossen allein in 2023 aus dem Bundeshaushalt an das US-Unternehmen.

Bund versucht, Abhängigkeit von Microsoft zu verschleiern

  • Die Transparenz zur Abhängigkeit und ihren Kosten ist inakzeptabel schlecht. Meine Kleine Anfrage zum Stand von Open Source im Bund vom Dezember 2023 ergab nicht nur die hohen Volumen für Rahmenverträge, sondern auch, dass frühestens 2024 ein Lizenzmanagement des Bundes eingesetzt wird – der Bund weiß also gar nicht, wo er genau was für Software einsetzt.
  • Aber was bezahlt wurde, das ist bekannt und wird Jahr für Jahr von meinem MdB Kollegen, dem Haushaltspolitiker Victor Perli, abgefragt. In diesem Jahr wurden zum ersten Mal vom Bund die Antworten nach den Ausgaben für Microsoft Lizenzen als VS-NfD eingestuft, was bedeutet hätte, dass ich die o.g. Kosten von 200 Mio Euro gar nicht hätte verraten dürfen. Erst nach einer Beschwerde wurde die Einstufung aufgehoben. So ein Vorgehen ist unwürdig, beschränkt sowohl die parlamentarische Arbeit als auch die öffentliche Debatte zu einem Thema, das selbst die Ampel zu einer Priorität erklärt hat: Digitale Souveränität.

Leere Versprechen: Kaum Open Source im Bund, Milliarden für Großkonzerne

  • Im Koalitionsvertrag stand noch: „Entwicklungsaufträge für Software beauftragen wir im Regelfall als Open Source“, die im vorherigen Abschnitt verlinkte Kleine Anfrage von mir ergab jedoch einen großen Widerspruch: nur lächerliche 0,5% Dienstleistungen im Zusammenhang mit Software entfielen in der aktuellen Legislatur auf Open Source, bei einem Gesamtvolumen von mind. 3,5 Mrd €,  und für Entwicklungsaufträge hat z.B. das BMDV auch nur 0,5% seiner Gesamtausgaben von 22 Mio € für die Entwicklung von Open Source-Software beauftragt. Alle Details dazu, finden sich in meiner Berichterstattung vom Dezember 2023.
  • Daran wird sich auch nichts ändern, denn die mickrigen Budgets für Open Source wurde schon im aktuellen Haushalt gekürzt und sollen im Haushalt 2025 noch einmal kräftig zusammengestrichen werden, dazu gleich mehr. Die Ausgaben für gigantische Rahmenverträge steigen jedoch Jahr für Jahr. Oracle: 4,6 Milliarden € Rahmenvertrag, SAP: 700 Millionen Euro Rahmenvertrag, der Microsoft Rahmenvertrag wird gerade verhandelt, der aktuelle umfasst 1,2 Milliarden €.

Abhängigkeit von Microsoft – ein Risiko für IT-Sicherheit und Daten

  • Auch im Digitalausschuss befassten wir uns mit der mangelhaften IT-Sicherheit von Microsoft, insbesondere mit drei sehr großen Sicherheitsvorfällen (das war noch vor Crowdstrike) allein aus den letzten 12 Monaten. US-Berater des Präsidenten stellten fest, dass Microsoft der IT-Sicherheit zu wenig Priorität einräumt und damit selbst zum Sicherheitsrisiko wird. Dabei stellte sich heraus, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar Rechtswege gegen Microsoft beschreiten musste, um an sicherheitsrelevante Informationen heranzukommen, die die Nutzung von Microsoft Cloud Diensten betreffen. Der US-Kongress hat die Nutzung des Microsoft Co-Pilot wegen Sicherheitsrisiken sogar ganz verboten.
  • Der EU-Datenschutzbeauftragte kritisierte, dass die Nutzung von Microsoft 365 rechtswidrig sei und ein Bruch der Datenschutzverordnung für EU-Institutionen. Die deutsche Datenschutzkonferenz warnte in 2023: “Rein vertragliche Maßnahmen genügen in der Regel nicht, auch wenn die Datenverarbeitung regelhaft ausschließlich im Europäischen Wirtschaftsraum erfolgt” (um einen Zugriff auf die Daten durch US-Behörden zu verhindern).
  • Ein von mir beauftragtes Gutachten des Wissenschaftlichen Dienstes stellte fest: wirkliche Sicherheit gegen Zugriffe von US-Geheimdiensten auf Daten, die mit Software von US-Unternehmen oder ihren Töchtern verarbeitet werden, gäbe es nur bei einer effektiven technischen Trennung. Ob es eine solche Trennung überhaupt geben kann, z.B. weil ja irgendwie Updates von Microsoft auf die in Deutschland bei Deutschen Unternehmen gehosteten Server kommen müssen, habe ich daher auch in der vorliegenden Kleinen Anfrage erfragt.
  • Noch ist die Datenverarbeitung rechtssicher auch bei Datenübermittlung in die USA möglich – solange ein für wahrscheinlich anzunehmendes Schrems III-Urteil nicht das neueste US-EU Data Privacy Framework (Privacy Shields 2.0) kippt. Ich würde keinen Cent dagegen wetten. Unabhängig davon bestehen Risiken auch wegen des CLOUD-Acts, der Herausgabepflichten auch von ausschließlich in Europa verarbeiteten und gespeicherten Daten regelt. Solange die US-Rechtslage so bleibt, dass sie die Menschenrechte nur für US-Bürger*innen, nicht aber für EU-Bürger*innen verankert sind, bleibt klar: Sicherheit geht nur mit weniger Abhängigkeit von Microsoft.

Kl. Anfrage zu Microsoft + Delos-Cloud – wichtigste Erkenntnisse

Kanzler meets SAP CEO – 73 Lobbytreffen zwischen Bund und SAP

  • In a Nutshell: Es gab extrem viele Kontakte zwischen den höchsten Ebenen des Bundes und von SAP
  • Bei 63 Terminen seit 2022 gab es mehr als 73 Kontakte zw. Bund u SAP, davon entfielen 44 allein auf das BMI (15), Kanzleramt u Bundespresseamt (15) und BMF (14)
  • 19 Mal ging es dabei explizit um Delos Cloud – in 2024 bei 9 von 15 Terminen (60%)
  • 10 Mal war der Kanzler selbst dabei, 20 Mal Minister:innen und 13 Mal die Spitzen von Behörden, darunter 9 Mal der/die Präsident:in des BSI (Sicherheitsfragen spielten offenbar eine wichtige Rolle und das ist eine gute Nachricht), 38 Mal waren Staatssekretär:innen präsent
  • auch auf Seiten SAP nahmen 51 Mal höchste Führungsebenen teil – CEO/ Vorstandsmitglieder/ Geschäftsleitung/ Vicepresident/ Senior Vice President beteiligt, darunter 3 mal der CEO der Delos Cloud GmbH, und erstaunliche 20 Mal der SAP CEO selbst. Man erkennt, es geht um viel Geschäft.

Massiver Lobbyismus: 50 Treffen zwischen Bund und Microsoft

  • Hoher Lobbydruck und sehr enge Beziehungen gibt es auch zwischen Microsoft und Bund 
  • Mehr als 50 Mal trafen in den letzten 2,5 Jahren höchste Ebenen des Bundes mit höchsten Ebenen von Microsoft zusammen
  • 23 Mal ging es dabei um das Thema Cloud, in 2023 war das bei mehr als der Hälfte aller Termine der Fall. 
  • Über 60 Mal war dabei höheres Management von Microsoft vertreten – vom General Manager über Senior Vice Präsidenten oder den CEO Global und die Deutschlandchefin von Microsoft (16 Mal). 
  • Fast 70 Mal schüttelten die Unternehmensvertreter:innen die Hände hoher Bundesbeamter, von Staatsekretär:innen (10), den Spitzen von Bundesbehörden (19), von Minister:innen  (18) oder die des Kanzlers (2 Mal). 9 Mal war Robert Habeck dabei. 

Kanzler und BMI lobbyieren massiv für Delos-Cloud

  • Die Bundesregierung bestätigt in ihrer Antwort auf meine Kleine Anfrage: Kanzler Scholz machte am 20.6.24 die Delos Cloud bei der Ministerpräsidentenkonferenz zum Thema. Das ist schon erstaunlich, denn bisher interessierte sich Scholz nullkommanix für digitale Themen.
  • Außerdem: Die direkt danach und ultrakurzfristig für den 27.6.24 anberaumte Sondersitzung des ITPlanungsrates war eindeutig eine Folge dieser MPK (Frage 9) und es ging dabei nur um die Delos Cloud. Dort wurde ein Beschluss diskutiert, in dem das “gemeinsame Interesse” und der “Mehrwert einer gemeinsamen Nutzung” der Delos-Cloud festgehalten werden sollte. Ein solches “gemeinsames Interesse” sei relevant für Investitionsentscheidungen von Seiten Microsoft, Delos und der Delos-Eigentümerin SAP. Der Bund denkt also weniger an IT-Sicherheit oder effiziente Steuermittelverwendung oder an sein Versprechen, vor allem Open Source einzusetzen, sondern macht sich vor allem um die Profitabilität von SAP und Microsoft Gedanken. Der Kanzler und das BMI machen sich damit zum langen Arm des Vertriebes großer IT-Unternehmen.
  • Kurz vor der MPK beehrte Kanzler Scholz übrigens den Gründer von SAP Hasso Plattner bei dessen Abschiedsfeier…Honni soit, qui mal y pense (Ein Schelm, wer Böses dabei denkt?). 

Kein Schritt in Richtung digitale Souveränität – im Gegenteil!

  • Bisher hat die Bundesregierung keinerlei Zusicherung von Microsoft, dass weiterhin On-Premise Lösungen für die Bundesverwaltung angeboten werden können  (Frage 6)
  • Im Gegenteil: die Ampel geht selbst davon aus, dass sich die angekündigte “Cloud-first-Strategie” von Microsoft auch konkret auf die bisher On-Premise genutzten Lösungen in der Bundesverwaltung bezieht (siehe Vorbemerkungen der Bundesregierung in ihrer Antwort)
  • Trotzdem werden die Abhängigkeiten geleugnet und das Erpresserpotenzial heruntergespielt, z.B. schreibt die Bundesregierung einerseits, ihr Interesse an der Delos Cloud hätte nichts mit Abhängigkeiten von Microsoft zu tun (Frage 12) und erklärt andererseits, dass die geplante Weiterentwicklung des IT-Arbeitsplatzes (mit Microsoft Exchange) eine Anbindung an die Microsoft Cloud (Azure) erforderlich mache (Frage 6).  
  • Abhängigkeiten zu US-Konzernen und IT-Sicherheitsrisiken hat die Ampel offenbar generell nicht hinreichend im Blick: Erst vor kurzem zeigte eine Kleine Anfrage von mir auf, dass der Bund extrem abhängig vom US-Konzern Broadcom ist, weil deren Produkt „VMware“ in der IT des Bundes mit heftigem Lock-In-Effekt verankert ist und Open Source-Alternativen nicht forciert wurden.

Bund weiß nicht, ob Delos-Cloud sicher und rechtskonform ist

  • Klipp und klar steht in der Antwort der Bundesregierung, dass noch völlig offen ist, ob die Delos Cloud sicher und rechtskonform verwendbar ist
  • Denn das wird immer noch geprüft (Frage 8a/b; 16), der Ausgang dieser Prüfung sei “offen”. Interessant ist dabei, dass bereits im Juni 2024 ein neuer Rahmenvertrag mit SAP geschlossen wurde, dessen Volumen mit 700 Mio € dreimal so hoch ist wie der Vorgänger-Rahmenvertrag, der auch Cloud Lösungen umfasst.
  • Die Open Source Business Alliance hatte in einem offenen Brief vor den Risiken der Delos-Cloud gewarnt und auf datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Risiken hingewiesen. Der Bund erklärt nun auf Nachfrage, dass man diese Bedenken zwar teile, aber dass sie nicht zu einer Infragestellung der Delos-Cloud führen würden. Auch da gibt es unauflösbare Widersprüche, denn der Bund teilt gleichzeitig mit, dass eine Nutzung der Microsoft Cloud vom positiven Ergebnis des laufenden “Prüfauftrages” des IT-Rats abhängig sei, der die Themen Informationssicherheit, Datenschutz und Geheimschutz hoch priorisiere. Der Widerspruch löst sich nur dann auf, wenn das Ergebnis des Prüfauftrages bereits vorab feststeht und die Bedenken ausräumt.

Abgeschottete Cloud? Nope! Direkte Netzverbindung zu Microsoft bestätigt!

  • Das Hauptargument für die Delos-Cloud ist bisher, dass sie die Microsoft Azure Cloud in Deutschland und im Rechenzentrum eines deutschen Unternehmens, der 100%igen SAP Tochter Delos Cloud GmbH betreibt und damit die technische Trennung vor einem Zugriff von US-Geheimdiensten auf deutsche Daten schützt. Laut Gutachten des Wissenschaftlichen Dienstes des Bundestages ist nur eine echte technische Barriere gegen jeden Zugriff von US-Behörden über zur Kooperation verpflichtete US-Unternehmen wirklich sicher. Nun gibt die Bundesregierung in ihrer Antwort zu: eine direkte Netzverbindung zwischen der Delos-Cloud und Microsoft ist zwingend erforderlich (Frage 14a), weil regelmäßig Updates eingespielt werden müssen! Und das hat natürlich Auswirkungen auf die Sicherheit, denn so ist nie ganz überprüfbar, was an Updates von Microsoft eingespielt wirdAuch die Sicherheit dieser Verbindung untersucht übrigens das “Prüfungsprojekt des Bundes”. 
  • Sicherheit spielte offensichtlich bei vielen hochrangigen Gesprächen eine wichtige Rolle, das zeigt auch, dass 20 Mal der Präsident bzw. die Präsidentin des BSI bei Gesprächen mit Führungskräften von Microsoft (11 Mal) und SAP (9 Mal) dabei war. Dabei ging es jedoch auch um andere Sicherheitsprobleme bei Microsoft. 
  • Funfact: die Bundesregierung erklärte auch, die No-Spy-Klausel gäbe es nur für “Gewährleistungsansprüche im Schadensfall”, deshalb unterschreiben diese zwar alle Vertragspartner, aber überprüft wird da nix (Frage 18c).
  • Damit bleiben US-gesetzliche Herausgabepflichten von Kundendaten, über deren mögliche praktische Anwendung die die US-Unternehmen übrigens schweigen und im Ernstfall sogar lügen müssen, ein reales Risiko, z.B. könnten über Updates Hintertüren eingebaut werden.

Bund hofft auf Einsparungen, kommen werden höhere Kosten

  • Es ist geradezu putzig. Die Bundesregierung gibt Jahr für Jahr mehr Geld aus für Microsoft Lizenzen und hofft nun, durch die Nutzung ZUSÄTZLICHER Produkte von Microsoft (nämlich die Azure Cloud, verwendet von SAP) künftig Geld einsparen zu können (Frage 11). Damit ignoriert sie außerdem die erwartbaren Mehrkosten, denn Kostensteigerung durch Mietmodelle u lock-in-Effekte sind häufig. 
  • Gleichzeitig legt die Bundesregierung einen unfassbaren Anti-Souveränitäts Haushalt 2025 vor und kürzt bei allem, was für Alternativen zu Microsoft wichtig wäre: z.B. beim Zentrum für Digitale Souveränität (ZenDiS) und der FITKO. Die Mittel für das ZenDiS wurden von 2023 auf 2024 bereits von etwa 50 Millionen auf weniger als 25 Millionen € gekürzt. In 2025 soll das ZenDiS nur noch 2,7 Mio € enthalten (Haushaltsentwurf 2025) – das ist eine Kürzung um fast 90%. Das ZenDiS soll übrigens die Alternative zu Microsoft Office entwickeln, die OpenDesk heißt, und neben klassischer Office Software auch Open Source Varianten für Videokonferenzen, Mail, Cloudspeicher und Messenger enthält. OpenDesk sollte ab 2025 „breitflächig“ im Bund ausgerollt werden. Das wird wohl kaum möglich sein mit einem solchen Budget. Wir erinnern uns: in 2025 läuft auch der Microsoft Rahmenvertrag aus und wird erneuert, dann aber vermutlich in Verbindung mit der Delos-Cloud, weil es nur noch die Cloud-Variante geben wird. Open Source würgt man finanziell ab, damit Großkonzerne noch mehr Geschäft machen können und die Abhängigkeiten weiter steigen.
  • Wirklich Geld sparen könnte der Bund, wenn endlich ordentlich in Open Source Alternativen investiert würde, denn damit gäbe es ein echtes Ausstiegsszenario aus der extremen Abhängigkeit von Microsoft, die den Bund jährlich hunderte von Millionen Euro kostet.

Delos-Cloud konterkariert deutsche Verwaltungscloudstrategie

  • Im Koalitionsvertrag steht wörtlich: “Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.” Meine Frage nach Widersprüchen zwischen den Transparenzvorgaben der Verwaltungscloudstrategie (DVS) und einer Microsoft-basierten Delos-Cloud, beantwortete die Bundesregierung inhaltlich überhaupt nicht (Frage 8d). Stattdessen behauptete sie einfach, man setze die Verwaltungscloudstrategie um.
  • Dazu kann ich nur feststellen: Wer derart massiv für eine “gemeinsame” Nutzung der Delos (=Microsoft) Cloud wirbt, setzt keineswegs eine Multicloud-Strategie um. Außerdem entspricht das nicht dem erklärten Vorrang für eine Open Source Cloud, der explizit in der Deutschen Verwaltungscloudstrategie formuliert ist.
  • Völlig irre finde ich die Antwort der Bundesregierung auf meine Frage, ob die Delos Cloud der grundsätzlichen Beauftragung von Entwicklungsaufträgen als Open Source Software nicht widerspricht. Sie verweist nämlich nur auf den rein theoretischen Vorrang von Open Source im neuen eGovernment Gesetz, weicht also eigentlich nur aus. Ganz praktisch ist die Delos Cloud genau null Open Source und ganz praktisch werden nur 0,5 Prozent der Software Entwicklungsaufträge des Bundes als OSS beauftragt (siehe meine Kleine Anfrage 20/9417). Man könnte auch argumentieren, Delos sei letztlich ein Produkt von SAP und deshalb kein Software-Entwicklungsauftrag der Verwaltung, aber die Delos-Cloud wird extra für den Einsatz in der öffentlichen Verwaltung entwickelt und insbesondere für den Bund, aber Open Source hat vermutlich trotzdem bei all den zig Lobbyterminen mit SAP und Microsoft niemand aus der Bundesregierung je angesprochen und gefordert. Der Bund hat schlicht keinen Bock auf Open Source.

Durchblick? Lizenzmanagement Tool kommt erst noch

  • Teil des Problems ist, dass nicht mal der Bund selbst weiß, welche Software Lizenzen er besitzt und/oder welche davon die Behörden nutzen. Ich habe seit Jahren immer wieder nachgefragt, auch in dieser Kleinen Anfrage. Und siehe da, endlich wird ein Software Lizenzmanagement Tool des Bundes ausgerollt, aber erst jetzt und erst mal nur für vier Behörden.
  • Bis Ende 2024 kommt das Lizenzmanagement für zwei Ministerien und zwei Bundesbehörden (Bundesarchiv und Eisenbahnbundesamt), Mitte 2025 sollen fünf, bis Ende 2025 drei weitere Behörden dazukommen, darunter drei Ministerien. Ob es danach weiter geht, hängt laut Antwort der Bundesregierung „von der Haushaltslage“ ab. Das läßt nichts Gutes ahnen.
  • Transparenz ist elementar für gute Staatsführung, nach innen und nach außen, sie muss deutlich höhere Priorität genießen! 

Das war meine Analyse der Kleinen Anfrage, nachfolgend gibts noch Pressestatements von mir dazu und darunter – ganz am Ende – gibts die Links zu den Antwort Dokumenten der Bundesregierung und weitere interessante Quellen.

Meine Pressestatements zur Kleinen Anfrage Microsoft / Delos-Cloud

Zusammenfassend:

„Die extreme Kontaktdichte zwischen hochrangigen Regierungsvertreter:innen und höchsten Repräsentant:innen von SAP und Microsoft in den letzten zwei Jahren wirft Fragen auf und ein schlechtes Licht auf die Bundesregierung, denn obwohl sie zugibt, dass es noch jede Menge offener Fragen zur sicheren Verwendung der Microsoft Cloud unter dem Dach der SAP-Tochter Delos gibt, wurde bereits im Juni ein aufgeblähter Rahmenvertrag mit SAP für ihren Einkauf abgeschlossen, und machte Kanzler Scholz auf der MPK und Nancy Faesers Staatssekretär auf einer Sondersitzung des IT-Planungsrates Werbung für die Delos Cloud bei den Bundesländern. 

So stärkt die Bundesregierung die von ihr immer wieder wortreich angestrebte Digitale Souveränität Deutschlands nicht, sie wird im Gegenteil drastisch geschwächt. Denn wenn das Buddy-System des Dreigestirns aus Bundesregierung und dem Topmanagements bei SAP und Microsoft dazu führt, dass die auf Open Source setzende Deutsche Verwaltungscloud Strategie munter ignoriert und eine Microsoft Cloud im Delos Mantel zur Haupt-Cloud staatlicher Stellen werden kann, führt das direkt zu noch mehr Abhängigkeiten von Microsofts proprietärer Software. 

Derart extreme Abhängigkeiten sind auch mit extremen Risiken verbunden: mit Erpressbarkeit bei steigenden Preisen, unkalkulierbaren Sicherheitsrisiken und noch weiter eingeschränkter Flexibilität, weil das Microsoft Universum faktisch zementiert und ständig erweitert werden wird und Open Source Alternativen künftig noch weniger integrierbar sind. Mit einer Umsetzung des Koalitionsvertrags oder der Digitalstrategie hat diese Entwicklung wenig zu tun. Das ist kurzsichtig und gefährdet die Souveränität der IT in Bund und Ländern.“  

Zum Lobbyismus:

„Ich kann mich aus meinen sieben Jahren im Bundestag an keine einzige Abfrage zu Lobbytreffen zwischen Bund und Vertreter:innen der Wirtschaft erinnern, bei der eine derart hohe Zahl bilateraler Treffen auf derart hohem hierarchischen Level stattgefunden hat, wie zwischen dem Bund und den Unternehmen SAP und Microsoft in den letzten ca. 2,5 Jahren. Da geht ein Bundeskanzler 10 Mal zu SAP und Minister Robert Habeck neun Mal zu Microsoft, ingesamt waren 38 Mal Minister:innen und 48 Mal Staatssekretär:innen bei 113 Terminen mit SAP oder Microsoft dabei. Über 60 Mal waren höchste Management Ebenen von Microsoft präsent, über 50 Mal die von SAP, allein der CEO von SAP war 20 Mal zugegen, die Deutschland Chefin von Microsoft 16 Mal. 

Bei 33 Treffen ging es dabei explizit um Cloud Dienste. Wie viele Treffen hat es wohl gegeben, mit Anbietern von wirklich souveränen Cloud Lösungen, die auf Open Source basieren? Wie neutral wird eine Entscheidung mit langfristigen Folgen, sowohl für die künftige IT-Architektur als auch für Kosten, Flexibilität und Integrationsfähigkeit getroffen werden können, wenn es so viele Lobbytermine mit den Anbietern einer ganz bestimmten Lösung gibt, zu denen bereits extrem hohe Abhängigkeiten bestehen? Es liegt doch nahe, dass bei derart geballter Firmenrepräsentanz, wo vom Global CEO bis zu General Managern und Senior Vice Presidents alles aufgefahren wird, was an hierarchischer Prominenz aufzubieten ist, mit vielen Topjurist:innen und Marketing Expert:innen jeder Kritik der Wind aus den Segeln genommen und mit vielen blumigen Erklärungen das Blaue vom Himmel herunter versprochen wird – ohne dass es hinreichend Gelegenheiten gibt, Gegenargumente auf den Tisch zu legen. 

Und so sah sich auch die Open Source Business Alliance genötigt, einen offenen Brief an die Bundesregierung zu schreiben. Denn für Unternehmen, die Alternativen zu proprietärer Software in Deutschland entwickeln, auch im Bereich Cloud Dienste, haben Kanzler, Minister, Behördenleitungen und ihr Gefolge aus Staatsekretär:innen keine auch nur ansatzweise vergleichbare Aufmerksamkeit übrig. So bleibt die Bevorzugung von Open Source durch den Bund eine Sprechblase der Ampel-Regierung, die nicht nur im Koalitionsvertrag, sondern auch in der Verwaltungscloudstrategiesteht, aber in der Realität weiterhin nicht stattfindet.“ 

Zum Mangel an digitaler Souveränität:

“Nicht müde wird die Bundesregierung, auf die Notwendigkeit einer digitalen Souveränität hinzuweisen, denn Abhängigkeiten sind gefährlich und einseitige Abhängigkeiten sind es doppelt. Da ist eine IT-Landschaft durchaus vergleichbar einem Ökosystem in der Natur, bei dem Monokulturen erheblich anfälliger sind als ein Ökosystem, in dem mehr Vielfalt herrscht. 

Die flächendeckende Abhängigkeit des Bundes von Microsoft wurde häufig kritisiert, wächst aber weiter an, sie diversifiziert sich und umfasst längst nicht mehr nur klassische Office-Anwendungen, sondern u.a. auch Maildienste (Outlook), Videokonferenzsysteme (Teams), KI-Dienste (Co-Pilot), Serversoftware oder Cloud-Dienste. Abhängigkeiten von einem Produkt bedingen häufig neue Abhängigkeiten, so verfolgt Microsoft eine Cloud First Strategie und will auch Office Anwendungen künftig nur noch in der Cloud anbieten, aber nicht in irgendeiner Cloud, sondern in der Microsoft Cloud. 

Seit Jahren wird vor den Konsequenzen gewarnt, nicht nur vom Rechnungshof, der die stetig steigenden Lizenzausgaben kritisiert. In 2023 floss schon jeder sechste Bundes-Euro, der für Software Lizenzen und Services ausgegeben wurde, an Microsoft – mehr als 200 Millionen Euro. Transparenz zum Grad der Abhängigkeit von Microsoft gibt es nicht, sie ist auch nicht erwünscht, denn erstmalig versuchte in diesem Jahr die Bundesregierung, ihre Antwort auf die jährliche Abfrage der Lizenzausgaben durch meinen MdB Kollegen Viktor Perli als VS-NfD einstufen zu lassen, damit sie in der öffentlichen Debatte nicht verwendet werden kann, was nur eine formelle Beschwerde verhinderte. Nicht einmal im Bund gibt es hinreichend Transparenz, denn ein flächendeckendes, verbindliches Lizenzmanagement gibt es nicht. Erst im Laufe des Jahres sollen die allerersten Bundesbehörden ein Software-Lizenzmanagement Tool nutzen können, es befindet sich noch im Roll-out. 

Wie viel, oder besser wie wenig Open Source Software eine Rolle spielt, hat daher auch erst eine Kleine Anfrage von mir ans Licht gebracht. Während im Koalitionsvertrag noch versprochen wurde, dass “im Regelfall” Softwareentwicklungen als Open Source beauftragt werden, kam heraus, dass in den ersten beiden Jahren der Ampelregierung nur lächerliche 0,5 Prozent der 3,5 Milliarden Ausgaben für IT-Dienstleistungen im Zusammenhang mit Software auf Open Source Software entfielen und ausgerechnet das Digitalministerium von 22 Mio € Kosten für Softwareentwicklungen ebenfalls nur 0,5 Prozent davon für Open Source ausgab. Der Regelfall ist nicht offene Software, sondern proprietäre, da hat sich mit der Fortschrittskoalition jenseits der Rhetorik leider absolut nichts geändert.” 

Zu fehlgelenkten Haushaltsmitteln: 

“Mit dem anstehenden großen ‘Gang in die Cloud’ könnten viele Karten neu gemischt werden, aber nicht beim Bund, der bleibt lieber beim Alten, also bei Microsoft. Wie ernst das Gerede von der digitalen Souveränität wirklich gemeint ist, merkt man spätestens am Geld, und das fließt sehr einseitig. Auch Investitionen in Alternativen wie den Open Source Arbeitsplatz des Bundes, OpenDesk, werden zwar sogar international angepriesen, aber trotzdem finanziell ausgebremst. 

Haushaltsmittel sollen steuernd wirken, das tun sie auch bei diesem Thema, nur leider in die falsche Richtung. Auch derHaushaltsentwurf für 2025 ist ein Verrat an der digitalen Souveränität, denn alles was das Potenzial hatte, die Unabhängigkeit der Bundes-IT von proprietären SoftwareW-Anbietern zu verringern, bekam besonders empfindlich Christian Lindners Rotstift zu spüren. Am krassestens trifft es das Zentrum für digitale Souveränität selbst, das unter anderem.a. OpenDesk weiterentwickeln soll, dessen ohnehin unzulänglichen Mittel von gut 20 Millionen Euro in 2024 auf künftig nur noch 2,7 Millionen schrumpfen sollen. Vielleicht hat deshalb der ZenDiS Geschäftsführer hingeschmissen. Wer kann schon mit so einem eklatanten Widerspruch von Anspruch und Wirklichkeit sinnvoll arbeiten. Auch der FITKO sollen die Haushaltsmittel von 43 Mio auf knapp 10 Mio gekürzt werden, obwohl die FITKO eine wesentliche Rolle bei der digitalen Souveränität spielt, Standards entwickeln und pflegen und für den dauerhaften Betrieb der deutschen Verwaltungscloud zuständig sein soll. Mehr Verachtung kann man dem Thema Open Source und Digitale Souveränität kaum entgegenbringen.”

Zur Sicherheit der Delos Cloud:

“Das jahrelange und ungewöhnlich intensive Engagement der Bundesregierung für eine Bundes-Cloud auf Basis von Microsoft Technologie erstaunt insbesondere in Anbetracht der Tatsache, dass es bis heute keine abgeschlossene Prüfung der Delos Cloud gibt, die ihre Unbedenklichkeit vor allem hinsichtlich der Informationssicherheit, des Datenschutzes und des Geheimschutzes feststellt. Die Prüfungen laufen immer noch, wie lange weiß man nicht, ihr Ausgang soll laut Bundesregierung offen und der Einsatz der Delos Cloud davon abhängig sein. Aber wie offen ist diese Prüfung wirklich, wenn der gerade erst im Juni abgeschlossene Rahmenvertrag mit SAP plötzlich dreimal so viel Volumen  – ca. 700 Mio Euro – wie sein Vorgängervertrag umfasst, aber dafür die Delos-Cloud mit abdeckt? An Zufälle glaube ich da nicht und die Bundesregierung gibt ja auch in ihrer Antwort selbst zu, dass die Kritik der OSBA, die auf die gerade in Prüfung befindlichen Sicherheitsrisiken hinwies, nicht zu einer Infragestellung der Delos Cloud führen würde. Immerhin nimmt das BSI das Thema ernst und zwar auf höchster Ebene, 20 Mal waren der Präsident des BSI und seine Nachfolgerin Claudia Plattner bei Terminen mit Microsoft und SAP dabei. 

Brisant ist jedoch, dass die Bundesregierung zugeben musste, dass die Microsoft Azure Technologie keineswegs quasi abgeschottet in Rechenzentren der SAP Tochter Delos laufen kann, was eine technische Barriere sein sollte, um Datenabflüsse Richtung US-Geheimdienste zu verhindern, denn US-Gesetze können US-Firmen weiterhin zum heimlichen Ausspähen von Daten ihrer Kunden zwingen. Nun bestätigte die Bundesregierung: Auch wenn die Azure Cloud im Rechenzentrum von Delos läuft, müssen die dortigen Server über eine Netzwerkverbindung mit den Servern von Microsoft direkt verbunden sein, denn anders lassen sich die notwendigen Updates gar nicht einspielen. 

Aber wo es derartige Verbindungen mit Software Updates gibt, kann auch nicht ausgeschlossen werden, dass aus der Ferne absichtlich Sicherheitslücken als Hintertüren eingebaut werden. Auf das Ergebnis der andauernden Sicherheitsprüfung und die darin verwendeten Argumente bin ich daher sehr gespannt. 

Aus meiner Sicht sollte man als Regierung eines europäischen Landes auf die Abhängigkeit von US-Konzernen komplett verzichten, das schaffen schließlich auch andere Mitgliedsstaaten der EU. Was es dafür braucht, ist eine umfassende Exit-Strategie, eine Priorisierung und ausreichende Förderung bereits verfügbarer Alternativen und vor allem eins: ‘Walk the Talk!’ – Also eine Bundesregierung, die ihre Versprechen und Vorgaben von Koalitionsvertrag bis zur Verwaltungscloud-Strategie endlich umsetzt und einhält.”

Links und Anlagen

  • Antwort der Bundesregierung: Hauptdokument LINK
  • Antwort der Bundesregierung Anlage 1 (Lobbytreffen mit SAP) LINK
  • Antwort der Bundesregierung Anlage 2 (Lobbytreffen mit Microsoft) LINK
  • Kleine Anfrage Open Source vom Dezember 2023 LINK zum Pressestatement
  • Gutachten der Wissenschaftlichen Dienste zur Sicherheit vor US-Zugriffen auf in DE gehostete Daten LINK
  • Diverse Tabellen mit Auswertungen der Lobbytreffen LINK

Meine Frage:

„Wie begründet die Bundesregierung angesichts der anhaltend hohen Gefährdungslage im Cybersicherheitsbereich die Zurückstellung von mindestens elf Maßnahmen der Cybersicherheitsagenda (s. Antwort des Bundesministeriums des Innern und für Heimat auf meine Nachfrage im Nachgang zu TOP 4 der 64. Sitzung des Ausschusses für Digitales des Deutschen Bundestages am 15. Mai 2024 bzw. www.heise.de/news/Kommentar-zur-Cybersicherheitsagenda-Von-Hochglanzstory-zum-nationalen-Drama-9774726.html), darunter auch die Maßnahme “Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung” (bitte jeweils jede zurückgestellte Maßnahme begründen, insbesondere hinsichtlich der genannten Maßnahme “security by design and by default”), und welche Maßnahmen, die sich aktuell noch in Umsetzung befinden, wird die Bundesregierung noch bis zum 31. Dezember 2024 erledigen können?“

Antwort der Bundesregierung:

„Die Umsetzung der Cybersicherheitsagenda behält für das Bundesministerium des
Innern und für Heimat (BMI) hohe Priorität. Viele Maßnahmen der Cybersicherheitsa-
genda befinden sich in Umsetzung oder sind bereits umgesetzt. Auch bei den zu-
rückgestellten Maßnahmen sind teilweise bereits Umsetzungsschritte erfolgt. Das
BMI tritt für eine weitere Stärkung der Ressourcen in diesem Bereich ein, um die Cy-
bersicherheit, insbesondere durch eine schnellere und umfassendere Umsetzung der
Cybersicherheitsagenda, zu erhöhen.


Zu den zurückgestellten sowie die in der Umsetzung befindlichen Maßnahmen wird
folgendes mitgeteilt:
a) (2.9) Ausbau der Zentrale Stelle für Informationstechnik im Sicherheitsbe-
reich (ZITiS) als zentraler Dienstleister für die Sicherheitsbehörden sowie
Auf- und Ausbau eigener nationaler Entwicklungsfähigkeiten und Bewer-
tungskompetenzen bei der ZITiS und
b) (3.11) Konsequenter Ausbau der ZITiS, um digitale Ermittlungswerkzeuge
für die Sicherheitsbehörden zur Stärkung der Auswerte- und

Analysefähigkeiten im Kampf gegen Cybercrime zu entwickeln.
Der Auf- und Ausbau eigener nationaler Entwicklungsfähigkeiten und Be-
wertungskompetenzen bei der ZITiS (2.9) sowie die Stärkung der Auswerte-
und Analysefähigkeiten im Kampf gegen Cybercrime (3.11) erfolgt im Rah-
men der verfügbaren Ressourcen.
Zurückgestellt werden jene Aktivitäten, die eine umfangreiche Ressourcen-
verstärkung (Stellen, Sachmittel und Personal) erfordern, welche sich in An-
betracht der angespannten Haushaltslage auch nicht durch Umpriorisierun-
gen in angemessenen Rahmen abbilden lassen.
Die Maßnahmen 2.9 und 3.11 sind als auf Dauer angelegte Zielsetzung zu
verstehen, weshalb eine abschließende Umsetzung in 2024 nicht zu erwar-
ten ist.
c) (3.1) Ausbau der zentralen Kompetenz- und Service-Dienstleistungen des
Bundeskriminalamtes (BKA) zur Bekämpfung von Cybercrime.
Der Ausbau der zentralen Kompetenz- und Service-Dienstleistungen des
BKA wurde bereits begonnen. Die Weiterführung der Maßnahme erfolgt im
Rahmen der verfügbaren Finanz- und Personalressourcen.
d) (4.1) Stärkere gesetzliche Verankerung der Informationssicherheit und Um-
setzung eines Verstärkungsprogramms für die Cybersicherheit des Bundes
mit der Einrichtung eines Chief Information Security Officers für den Bund
(CISO BUND) und eines Kompetenzzentrums zur operativen Sicherheitsbe-
ratung des Bundes.
Die Einrichtung der Rolle des CISO Bund und die gesetzliche Verankerung
der Rolle der Informationssicherheitsbeauftragten sind im Rahmen des NIS-
2-Umsetzungs-und-Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) ge-
plant und könnten daher in Abhängigkeit des Gesetzgebungsverfahrens ab-
geschlossen werden. Nur mit zusätzlichen Haushaltsmitteln wäre darüber
hinaus der Aufbau eines Kompetenzzentrums zur operativen Sicherheitsbe-
ratung des Bundes möglich.
e) (4.2) Etablierung des Grundsatzes „security by design and by default“ in der
Bundesverwaltung
Seit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 2021 müssen die Stellen
des Bundes gem. § 8 Abs. 4 Gesetz über das Bundesamt für Sicherheit in
der Informationstechnik (BSIG) „bei der Planung und Umsetzung von we-
sentlichen Digitalisierungsvorhaben des Bundes“ das Bundesamt für Si-
cherheit in der Informationstechnik (BSI) frühzeitig beteiligen und ihm Gele-
genheit zur Stellungnahme geben. So werden Sicherheitsanforderungen di-
rekt von Anfang an bei der Digitalisierung mitgedacht (Security-by-Design).
Verantwortlich für ist hierfür im BSI die Sicherheitsberatung Bund..

f) (4.4) Investition in Quantencomputing beim BSI zur Gewährleistung der si-
cheren Regierungskommunikation
Investitionen in Quantencomputing beim BSI zur Gewährleistung der siche-
ren Regierungskommunikation wären mit zusätzlichen Haushalsmitteln
möglich.
g) (5.1) Förderung von Investitionen für Cyber-Resilienz-Maßnahmen in kleine
und mittlere Unternehmen (KMU), die dem KRITIS-Sektor angehören
h) (5.2) Einrichtung von Awareness und Cyber-Resilienz-Projekten, die vom
BSI und von externen Dienstleistern angeboten werden
Für die Maßnahmen 5.1 und 5.2 stehen keine ausreichenden Haushaltsmit-
tel zur Verfügung.
i) (6.2) Konzeption und initialer Aufbau eines zivilen Cyberabwehrsystems
(ZCAS)
Die Maßnahme baut auf der Maßnahme 6.1, Aufbau eines BSI Information
Sharing Portals (BISP) auf und kann nach deren Umsetzung starten.
j) (8.1) Modernisierung der Weitverkehrsnetze gemäß der „Netzstrategie 2030
für die öffentliche Verwaltung“
Die Maßnahme befindet sich in Umsetzung. Im Jahr 2024 erfolgt im Rah-
men des IPv6 Programm des Bundes die weitere Umsetzung zur Moderni-
sierung innerhalb der Netze des Bundes (NdB). Diese soll bis Ende 2024
den Datenaustausch mit dem neuen Protokoll IPv6 zwischen ersten Behör-
den und dem Informations-Technik-Zentrum des Bundes (ITZ-Bund) ermög-
lichen.
k) (8.5) Erweiterung des Digitalfunknetzes für die Behörden und Organisatio-
nen mit Sicherheitsaufgaben (Datenkommunikation)
Die Maßnahme 8.5 umfasst die Frage, wie ein hochsicheres, hochverfügba-
res modernes Breitbandnetz die bisherige TETRA-Technik künftig ersetzen
kann, um eine zeitgemäße breitbandige Datenkommunikation zu ermögli-
chen. Hierfür sind weitere Abstimmungen zwischen Bund und Ländern er-
forderlich, um ein bundesweit einheitliches und wirtschaftliches Vorgehen
zu gewährleisten. Der Bund ist hierzu mit den Ländern im ständigen Aus-
tausch. Die Maßnahme ist insofern als zurückgestellt bezeichnet, um den
Eindruck zu vermeiden, der Bund würde von einem abgestimmten, gemein-
samen Vorgehen aller Beteiligten Abstand nehmen wollen.
l) Die weiteren in Umsetzung befindlichen Maßnahmen sind wegen fehlender
notwendiger grundgesetzlicher und einfachgesetzlicher Änderungen sowie
unzureichender Mittel und Stellen bis Ende 2024 nicht abzuschließen.“

Antwort der Bundesregierung als PDF:

Meine Frage:

„Welche konkreten Inhalte bzw. Ergebnisse enthält der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der aktuell laufenden Prüfung gem. § 9b des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik fertiggestellte (technische) Prüfbericht zu sicherheitsrelevanten Komponenten im 5G-Netz, der laut Eigenaussage der BSI-Präsidentin Claudia Plattner im Interview der Jung & Naiv-Folge 686 (https://www.youtube.com/watch?v=MkjQcT_eI_E) bereits an das Bundesministerium des Innern und für Heimat (BMI) übermittelt wurde, und weshalb war dieser der Leistungsebene des BMI zum Zeitpunkt der 66. Sitzung des Digitalausschusses des Deutschen Bundestages vom 12. Juni 2024, vertreten durch den Staatssekretär Dr. Markus Richter, nicht bekannt (bitte in der Antwort auch das Datum nennen, an dem der Bericht dem BMI übergeben wurde)?“

Antwort der Bundesregierung:

„Das Bundesministerium des Innern und für Heimat (BMI) prüft aktuell nach § 9b Absatz

4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik(BSIG) den Einsatz von kritischen Komponenten chinesischer Hersteller in den deutschen öffentlichen 5G-Mobilfunknetzen. Das BSI ist in die Prüfungen des BMI eingebunden und berichtet regelmäßig an das BMI. Das BSI unterrichtet in diesem Zusammenhang insbesondere über potentielle Risiken, die von einzelnen in den betreffenden 5G-Netzen verbauten Komponenten ausgehen. Einen singulären Bericht zu einem Prüfergebnis des BSI gibt es nicht. Die Einschätzungen des BSI fließen in die Gesamtbewertung des BMI ein und sind auch Herrn Staatssekretär Dr. Richter bekannt. In diesem Sinne hat er am 12. Juni 2024 in der 66. Sitzung des Digitalausschusses des Deutschen Bundestages berichtet.“

Antwort im Original:

Lissabon, 20. Juni 2024 – Wir, die Unterzeichnenden, sprechen uns vehement gegen die geplante Einführung der sogenannten Chatkontrolle aus.

Wir sind zwar gerade auf Ausschussreise in Lissabon, haben aber die Diskussion zur Chatkontrolle intensiv begleitet und begrüßen die klare Ablehnung Deutschlands in Brüssel. Die Verschiebung der Abstimmung ist dabei nicht ausreichend, wir fordern die endgültige Ablehnung des Konzepts Chatkontrolle.

Wir sind der Überzeugung, dass mit der geplanten Chatkontrolle der abscheuliche Missbrauch von Kindern nicht verhindert werden kann, dafür aber jegliche Kommunikation kontrolliert werden könnte.

Es bedarf anderer Maßnahmen wie verpflichtende Meldemechanismen bei Online-Diensten, eine stabile Finanzierung von Hotlines und Beratungsstellen sowie eine Verbesserung der Medienkompetenz insbesondere in vulnerablen Gruppen sowie mehr Sensibilisierung der Bevölkerung und stärkere Prävention auch im Analogen.

Schutz der Privatsphäre in Gefahr

Das Recht auf Privatsphäre, das von der Bundesregierung geplante Recht auf Verschlüsselung und das Recht auf Schutz vor Gewalt dürfen nicht gegeneinander ausgespielt werden. Sie alle sind essenziell für die gesellschaftliche und demokratische Teilhabe aller, insbesondere von unterrepräsentierten Gruppen und nicht zuletzt von Jugendlichen und Heranwachsenden selbst.

Unverhältnismäßigkeit und Gefährdung spezifischer Gruppen

Doch nicht nur Kinder und Jugendliche haben ein Recht auf Privatsphäre – auch durch Verschlüsselung –, das es zu schützen gilt. Angehörige benachteiligter Gruppen, Journalistinnen, Whistleblowerinnen und Anwälte sind am meisten von Überwachung und Machtmissbrauch durch staatliche und andere Kontrollstellen betroffen und deshalb besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen.

Rechtsstaatliche Prinzipien bewahren

Die Einführung der Chatkontrolle steht im Widerspruch zu dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sowie den Grundrechten auf Privatsphäre und Meinungsfreiheit, wie sie in der Europäischen Menschenrechtskonvention und dem Grundgesetz verankert sind. Der Schutz
dieser Rechte ist essenziell für das Vertrauen der Bürgerinnen und Bürger in den Rechtsstaat und die Demokratie.

Unterzeichnende:

  • Tabea Rössner MdB, Ausschussvorsitzende des Auschuss für Digitales, B90/Grüne
  • Anke Domscheit-Berg MdB, Mitglied des Auschuss für Digitales, Die Linke
  • Sabine Grützmacher MdB, Mitglied des Auschuss für Digitales, B90/Grüne

Kontakt für Rückfragen:

Anke Domscheit-Berg, MdB, digitalpolitische Sprecherin der Gruppe die Linke im Bundestag
Platz der Republik 1, 11011 Berlin
(030) 227 73107
anke.domscheit-berg@bundestag.de

18.06.2024

Dear Council of the European Union, 
Dear national governments, 

In the last days of the Belgian EU Council Presidency, Belgium has put forward its final initiative to reach a general approach in the Council of the EU regarding the highly contested CSA regulation (Proposal for a regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse). In possibly putting the CSA Regulation to a vote on 19 June, the Council is risking far more than just passing a simple regulation. 

Sexual abuse and the exploitation of children, including the dissemination of child sexual abuse material, must be addressed with the utmost determination in accordance with the rule of law. While the regulation proposal put forward by the EU Commission includes some good and crucial measures, such as the EU center, it is highly questionable whether core aspects of the regulation are compatible with European fundamental rights. 

As parliamentarians, we observe with great concern the proposal of the Council of the EU that would put to an end the confidentiality of private communication. Even if the Belgian Council Presidency has now presented a compromise proposal that would limit the obligation to scanning private unencrypted as well as encrypted video and image content, it remains just as much an encroachment on fundamental digital rights and takes the discussion back to the origin of the debate. In fact, the Belgian proposal represents the Commission’s first plans that came to light in December 2021. 

Safe and encrypted communication is of utmost importance for every human being. This also accounts for children and victims of sexual abuse to allow for safe emergency and help services – particularly in countries where victim support organisations cannot rely on the support and confidentiality of state law enforcement authorities. 

Besides risking to contradict the aim of the CSA proposal by intervening in the digital self-determination of people, there might be several unintentional but dangerous side effects: 

  • Client Side Scanning (CSS) and any other mass surveillance, would render confidential information carriers impossible: Scanning would affect users who rely on confidential communication and whose communication is particularly protected (professionals bound by confidentiality such as journalists, lawyers, the medical sector, but also whistleblowers). Furthermore, built-in backdoors could compromise the confidentiality of digitally transmitted trade secrets and business transactions. Encryption protects the identity and the contents of communication participants, thus preserving the autonomy of victims of sexual violence. 
  • Democratic society and democratic debate need trustworthy spaces: Democratic societies need privacy for the formation of opinions and will. The proposed measures carry the danger of leading to self-censorship, jeopardizing safe spaces for children and victims of sexual violence, but also for everyone else. It will also likely leave to users unwilling to use digital services and lose trust in providers if their data is not secure and protected. 
  • Blueprint for authoritarian states and weakening cybersecurity: By building an architecture capable of undermining all possibility of private digital communication, the regulation might inadvertently serve as a blueprint for surveillance in authoritarian states and can serve as a built-in backdoor that can easily be exploited for all sorts of surveillance practices (e.g. trade secrets) and cybercriminals. Once built, this IT-architecture is an invitation to undermine privacy. 
  • Impairment of digital educational, youth, and assistance services: It will eliminate the common practice to exchange important sexual health information to such education as is case in some European countries. 

The mandatory investigation of private communication messages without suspicion carries the risk of creating a climate of general suspicion. Such an approach will irreparably damage the image of the European Union as a guarantor of freedom. 

We explicitly warn that the obligation to systematically scan encrypted communication, whether called “upload-moderation” or “client-side scanning”, would not only break secure end-to-end encryption, but will to a high probability also not withstand the case law of the European Court of Justice. Rather, such an attack would be in complete contrast to the European commitment to secure communication and digital privacy, as well as human rights in the digital space. 

We therefore urgently need an approach that prioritizes the protection and prevention of child sexual abuse, provides more resources and better-targeted coordination of European law enforcement authorities, strengthens victim support in accordance with fundamental rights, and avoids relying on a false sense of security through technosolutionism. 

As national and European parliamentarians, we are convinced that the proposed measures are incompatible with European fundamental rights. We are committed to safeguarding the right to anonymous and pseudonymous use of the internet, as well as strengthening end-to-end encryption. 

We urgently call on all negotiating governments in the COREPER to reject a general approach based on compromise proposal that Belgium has put forward. 

Signatories 

Tobias B. Bacherle, MP, Alliance 90/The Greens, Germany 

Konstantin von Notz, MP & Vice Chair of the group, Alliance 90/The Greens, Germany

Süleyman Zorba, MP, The Greens, Austria

Maximilian Funke-Kaiser, MP, FDP, Germany

Konstantin Kuhle, MP & Vice Chair of the  group, FDP, Germany 

Sven Clement, MP, Pirates, Luxembourg

Valentin Abel, MP, FDP, Germany

Sephanie Aeffner, MP, Alliance 90/The Greens, Germany

Alviina Alametsä, MEP, Greens/EFA, Finland

Rasmus Andresen, MEP, The Greens/EFA, Germany

Christine Aschenberg-Dugnus, MP, FDP, Germany 

Maik Außendorf, MP, Alliance 90/The Greens, Germany 

Christian Bartelt, MP, FDP, Germany

Jens Beeck, MP, FDP, Germany

Katharina Beck, MP, Alliance 90/The Greens, Germany

Lukas Benner, MP, Alliance 90/The Greens, Germany

Michael Bloss, MEP, The Greens/EFA, Germany 

Damian Boeselager, MEP, The Greens/EFA, Germany 

Dr. Jens Brandenburg, MP, FDP, Germany

Patrick Breyer, MEP, The Greens/EFA, Germany 

Saskia Bricmont, MEP, The Greens/EFA, Belgium

Georg Bürstmayr, MP, The Greens, Austria 

Anke Domscheit-Berg, MP, Die Linke, Germany

Marcel Emmerich, MP, Alliance 90/The Greens, Germany 

Emilia Fester, MP, Alliance 90/The Greens, Germany 

Alexandra Geese, MEP, The Greens/EFA, Germany 

Stefan Gelbhaar, MP, Alliance 90/The Greens, Germany 

Anikó Glogowski-Merten, MP, FDP, Germany

Andreas Glück, MEP, Renew Europe, Germany 

Marketa Gregorová, MEP, The Greens/EFA, Czech Republic

Sabine Grützmacher, MP, Alliance 90/The Greens, Germany 

Thomas Hacker, MP, FDP, Germany

Svenja Hahn, MEP, Renew Europe, Germany 

Philipp Hartewig, MP, FDP, Germany

Katrin Helling-Plahr, MP, FDP, Germany 

Bernhard Herrmann, MP, Alliance 90/The Greens, Germany

Manuel Höferlin, MP, FDP, Germany

Dr. Christoph Hoffmann, MP, FDP, Germany 

Ottmar von Holtz, MP, Alliance 90/The Greens, Germany

Lamya Kaddor, MP, Alliance 90/The Greens, Germany

Misbah Khan, MP, Alliance 90/The Greens, Germany

Daniela Kluckert, MP, FDP, Germany 

Marcel Kolaja, MEP, The Greens/EFA, Czech Republic 

Moritz Körner, MEP, Renew Europe, Germany

Michael Kruse, MP, FDP, Germany

Wolfgang Kubicki, MP, FDP, Germany 

Katharina Kucharowits, MP, SPÖ, Austria

Renate Künast, MP, Alliance 90/The Greens, Germany

Ulrich Lechte, MP, FDP, Germany 

Dr. Thorsten Lieb, MP, FDP, Germany

Helge Limburg, MP, Alliance 90/The Greens, Germany

Denise Loop, MP, Alliance 90/The Greens, Germany

Oliver Luksic, MP, FDP, Germany

Kristine Lütke, MP, FDP, Germany 

Boris Mijatovic, MP, Alliance 90/The Greens, Germany 

Maximilian Mordhorst, MP, FDP, Germany 

Hannah Neumann, MEP, The Greens/EFA, Germany 

Jan-Christoph Oetjen, MEP, Renew Europe, Germany 

Dr. Paula Piechotta, MP, Alliance 90/The Greens, Germany

Volker Redder, MP, FDP, Germany

Tabea Rößner, MP, Alliance 90/The Greens, Germany 

Michael Sacher, MP, Alliance 90/The Greens, Germany 

Kassem Taher Saleh, MP, Alliance 90/The Greens, Germany

Dr. Nikolaus Scherak, MP, NEOS, Austria 

Ria Schröder, MP, FDP, Germany

Kordula Schulz-Asche, MP, Alliance 90/The Greens, Germany 

Prof. Dr. Stephan Seiter, MP, FDP, Germany

Kim van Sparrentak, MP, The Greens/EFA, Netherlands 

Dr. Marie-Agnes Strack-Zimmermann, MP, FDP, Germany 

Jens Teutrine, MP, FDP, Germany

Stephan Thomae, MP, FDP, Germany

Johannes Vogel, MP, FDP, Germany

Robin Wagener, MP, Alliance 90/The Greens, Germany

Sandra Weeser, MP, FDP, Germany

Nicole Westig, MP, FDP, Germany

Katharina Willkomm, MP, FDP, Germany

Christina-Johanne Schröder, MP, Alliance 90/The Greens, Germany

————————————————————————————-

Offener Brief – als PDF

Zusammenfassung:
Harte Themen gab es im Digitalausschuss vom 24.4.24: Verteidigungsminister Pistorius war mit mehreren Generälen präsent und stellte sich unseren Fragen zu KI, Drohnen, Cloud und hybride Bedrohung, natürlich ging es auch um den Ukraine-Krieg und digitale Kriegsführung – von Kamikaze-Drohnen bis Satelliten-Konnektivität. Ethisch alles nicht so einfach. Wir haben außerdem Microsoft vorgeladen und nebst BSI und BMI zu den jüngsten 3 Hackerangriffen befragt: Erkenntnisse, Folgen, Sicherheitsrisiken und Konsequenzen für die digitale Souveränit des Bundes. Kürzer gehts ums dritte Thema: Umsetzung der KI-Verordnung. Bonusthema diesmal: der Girlsday! Ich hatte 8 Mädels zu Gast, die im Podcast kurz zu Wort kommen.

Kapitelmarken:
00:00:07 Intro
00:01:18 Girls Day
00:04:16 Pistorius: Meine u seine Intro
00:12:19 Pistorius: Sicherheitslücken, Graubereiche, Hackback
00:20:47 Pistorius: Konnektivität, Ukraine-Krieg, KI
00:27:47 Pistorius: Cloud, WebEx Leak, Nachhaltigkeit, Fazit
00:33:04 Hackerangriffe auf Microsoft: Intro – 3 Fälle
00:44:36 MSFT Hacks: BSI, BMI – Betroffenheit, Konsequenzen
00:47:43 MSFT Hacks: Sicherheit souveräner Clouds, Rahmenverträge
00:54:51 KI-Verordnung – next Steps dt. Umsetzung
00:57:03 Outro

Weiterführende Links:

Rede zur internationalen Digitalpolitik vom 25.04.24

GirlsDay

Verteidigungsmininister Pistorius u Digitalisierung im Militär

Microsoft-Gate

KI-Verordnung – AI Act

Mehr von mir und Feedback von euch zu #DerADBPodcast:


Meine Frage:
Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 47 auf Bundestagsdrucksache 20/5426 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/054/2005426.pdf)?

Weiterlesen

Informationstechnologie bildet das Rückgrat moderner Verwaltungsprozesse und steht im Mittelpunkt der Umsetzung staatlicher Aufgaben. Daher ist die Besetzung von IT-Sicherheitsstellen im Bund unerlässlich, um die staatlichen Institutionen effektiv vor Cyberangriffen zu schützen und damit die Arbeitsfähigkeit der Bundesbehörden und der Bundesregierung sicher zu stellen. Damit werden auch die Daten der Bürger:innen geschützt, die in Bundesbehörden verarbeitet werden, wie z.B. bei der Agentur für Arbeit, der Deutschen Rentenversicherung oder Bundesamt für Migration und Flucht. Aktuell sind jedoch laut einer Antwort der Bundesregierung auf eine schriftliche Frage von Anke Domscheit-Berg, Digitalpolitikerin der Linken im Bundestag, fast 750 IT-Sicherheitsstellen im Bund unbesetzt, das ist jede sechste dieser Stellen. Mängel in der IT-Sicherheit sind gefährlich, das zeigt die steigende Zahl erfolgreicher Ransomware Angriffe z.B. auf Kommunen, Bildungseinrichtungen und Unternehmen. Ein erfolgreicher Cyberangriff auf eine Bundesbehörde könnte katastrophale Folgen haben, weshalb IT-Sicherheit in allen Geschäftsbereichen der Bundesregierung eine hohe Priorität erhalten muss. Wie aus der Antwort der Bundesregierung jedoch hervorgeht, gibt es sehr große Unterschiede zwischen den Ressorts.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

Weiterlesen

Zum Digitalausschuss vom 17.01.2024 gibt es eine Mammut-Folge mit 5 Themen im Ausschuss und den 2 Bonus-Themen: Update zur Linken im Bundestag und meine Argumente für ein AfD Verbot. Digital gehts um: 1) UN Cybercrime Convention (authoritäre Staaten wollen darin Gruseliges), 2) der KI-Aktionsplan des BMBF mit 500 Mio € Fördergeld in 2024, 3) Ergebnisse der Weltfunkkonferenz 2023: kommt ein Mobilfunknetz für Polizei und Militär? Was sind Folgen für die Kulturfrequenzen?, 4) Bund und Länder Krisenübung LÜKEX mit einem Cyber-Attacke-auf-den-Staat Szenario und 5) wie lief die Förderung des Glasfaserausbaus in 2023 (Gigabit-Richtlinie 2.0) und was kommt 2024?

Kapitelmarken:
00:00:07 Intro
00:01:25 UN-Cybercrime Convention 
00:13:51 Weltfunkkonferenz
00:26:42 Krisenübung LÜKEX mit Cyberangriff
00:36:48 KI-Aktionsplan Bundesregierung
00:48:35 Gigabitrichtlinie 2.0
00:56:00 Update Linke im Bundestag
00:57:27 AfD-Verbot
01:04:07 Outro und Hinweise

Weiterführende Links:

UN-Cybercrime Convention:

Weltfunkkonferenz:

LÜKEX – Krisenübung mit Bund und Ländern:

KI-Aktionsplan:

Gigabitrichtlinie 2.0:

Sonstige Hinweise:

Eine aktuelle Kleine Anfrage der Linken im Bundestag zur Bewertung der Digitalen Souveränität des Bundes erfragte Informationen zu Rahmenverträgen der Bundes-IT und zu Ausgaben für proprietäre Software und Open Source Software (OSS). Aus der Antwort der Bundesregierung mit DS 20/9641 ergibt sich, dass die 10 größten Vertragspartner für IT-Rahmenverträge ein gemeinsames Rahmenvertragsvolumen von über 13,6 Mrd. Euro haben. Davon entfällt allein auf Produkte und Dienstleistungen des US-Herstellers Oracle ein Gesamtvertragsvolumen von 4,8 Milliarden Euro, mit dem größten Einzel-Rahmenvertrag über 4,6 Mrd Euro bei einer Laufzeit bis 2030. Weitere knapp 1,3 Milliarden entfallen auf zwei Rahmenverträge für Lizenzen des US-Unternehmens Microsoft.

Aus der detaillierten Abfrage von Ausgaben zu Entwicklungsaufträgen von Software und zu Dienstleistungen im Zusammenhang mit Software ergab sich, dass der Bund seit Beginn dieser Legislatur nur etwa 0,5 Prozent seiner entsprechenden Ausgaben für OSS einsetzte. So vergab das Digitalministerium Entwicklungsaufträge im Volumen von 22,3 Mio Euro, wovon aber nur 121.000 Euro (0,55 Prozent) auf die Entwicklung von OSS entfielen. Für Dienstleistungen im Zusammenhang mit Software verausgabte der Bund insgesamt sogar etwa 3,5 Milliarden Euro, auch davon flossen aber nur 18,6 Mio (0,54 Prozent) an Open Source. Sowohl der Koalitionsvertrag der Ampel-Regierung als auch ihre Digitalstrategie versprachen jedoch, auf Open Source zu setzen. Dazu erklärt Anke Domscheit-Berg:

“Ich kann mich an keine Regierung erinnern, bei der digitalpolitische Ankündigungen und ihre Umsetzung derart eklatant auseinander klafften! Die Förderung von Open Source und die Betonung der Digitalen Souveränität als Richtschnur für IT-Entscheidungen sind offensichtlich reine Lippenbekenntnisse, denn in der Praxis setzt auch die sogenannte Fortschrittskoalition auf die übliche Praxis, für sehr viel Geld teure proprietäre Software insbesondere von großen US-Konzernen einzukaufen. Nicht einmal der für die Digitalstrategie zuständige Minister Wissing hält sich an das, was er darin angekündigt, denn für OSS Entwicklung gab er nur 0,5 Prozent seines Budgets für Softwareentwicklung aus.

Dass außerdem mehrjährige IT-Rahmenverträge über extrem hohe Summen v.a. mit US-Konzernen sowie zu ihren Produkten abgeschlossen wurden, ist genau das Gegenteil von Stärkung der digitalen Souveränität und erhöht auf viele Jahre die Abhängigkeit des Bundes von einzelnen US-Konzernen. Mit einer einzigen US-Firma (Oracle) sogar einen Rahmenvertrag über 4,6 Mrd Euro abzuschließen, der noch bis zum Ende der nächsten (!) Legislatur laufen wird, ist schlicht auch obszön, denn diese Summe ist doppelt so hoch, wie die Kosten der mühsam erkämpften Kindergrundsicherung bei ihrer Einführung und auch in Anbetracht des für 2024 zu erwartenden Kahlschlaghaushalts für viele soziale Belange. Außerdem wird damit die Abhängigkeit von einem einzelnen Hersteller über Jahre hinweg extrem erhöht. Wer aber abhängig ist von einzelnen Firmen und ihren Produkten, wird erpressbarer – muss also häufig immer mehr bezahlen, ist außerdem weniger flexibel und geht ein zusätzliches IT-Sicherheitsrisiko ein. Deshalb ist es völlig inakzeptabel, dass der Koalitionsvertrag zwar einerseits verspricht, die digitale Souveränität durch mehr OSS zu sichern, aber gleichzeitig der Bund mit milliardenschweren Rahmenverträgen das Gegenteil erreicht und Tatsachen schafft, die bei einer Handvoll US-Konzernen die Kassen klingeln lassen, aber jede Menge Nachteile und Risiken bedeuten, bis hin zum Risiko, dass es über eingebaute Hintertüren Datenabflüsse an US-Geheimdienste gibt.

Am Ende erkennt man doch immer am Geld, wie ernst es eine Regierung mit ihren Versprechen meint! Bisher stehen auch im Haushalt für 2024 Kürzungen ausgerechnet für Open Source Initiativen an, denn die Haushaltsmittel für das Zentrum für Digitale Souveränität sollen fast halbiert werden. Diese Kürzungen betreffen die beiden wichtigsten Vorhaben des Bundes zur Förderung von OSS: die Entwicklung eines Open Source Arbeitsplatzes, als Alternative zu Microsoft Office, und die Plattform OpenCode, auf der Software der Verwaltung veröffentlicht werden soll.

Würde es die Bundesregierung ernst meinen mit der Förderung von Open Source in der eigenen Verwaltung, gäbe es messbare Ziele und ein Monitoring für den Anteil von OSS im Bund, beides existiert bisher nicht, selbst ein Software-Lizenzmanagementsystem befindet sich erst in der Planungsphase, was bei so hohen Ausgaben für Lizenzen schlicht nicht nachvollziehbar ist. Die gesamte Praxis der Bundesregierung zur Entwicklung von Software und Vergabe von Rahmenverträgen konterkariert ihre eigenen strategischen Ziele und trägt viel zu wenig zur Entwicklung europäischer Open Source Alternativen und eines Open Source Ökosystems bei, sie schadet außerdem aktiv der digitalen Souveränität.”

Links:

Anmerkung:

Die Detailtabellen zu den einzelnen Entwicklungs- und Dienstleistungsverträgen (3 weitere Anlagen) sind eingestuft als „Nur für den Dienstgebrauch“ und können daher nicht veröffentlicht werden.