Beiträge

Pressemitteilung: Kleine Anfrage offenbart Souveränitätsrisiken bei Clouds im Bund

, , , , , , , , , , ,

Zusammenfassung:

  • Bund verdoppelt Ausgaben für Cloud von 2021 bis 2024 auf 286 Mio €
  • Der Open Source Anteil der Clouds ist mit 2 Prozent extrem niedrig, bei Cloud-Entwicklungskosten beträgt er 5,8 Prozent, beim Cloud-Betrieb nur 0,1 Prozent. Sicherheitsbehörden überraschen als Open Source Vorreiter.
  • Die Netze des Bundes sind nicht Cloud-fähig, ihr Ersatz erfolgt unzureichend koordiniert
  • Sicherheitsrisiko: 32 Cloud-Dienste von Hyperscalern genutzt – nur ein einziger mit Ende zu Ende Verschlüsselung
  • Cloud Service Portal der Deutschen Verwaltungscloud: 40 Dienstleistungen von 11 Cloud Anbietern verfügbar – das ITZ Bund ist wegen rechtlicher Hürden nicht beteiligt
  • Das notwendige Lagebild „Digitale Souveränität“ erfordert bessere Datenlage
  • Bundesregierung korrigiert eigene Position: Nur veröffentlichter Code ist Open Source

Pressemitteilung

In einem Koaltions-Verhandlungspapier der AG Digital kommt das Thema Digitale Souveränität auch im Zusammenhang mit der Nutzung von Clouds für die Verwaltung vor, ohne dass Kriterien für die erwähnten „souveränen Standards“ beschrieben werden. Wie groß die Herausforderung beim Gang der Bundesverwaltung in die Cloud gerade mit Blick auf die Digitale Souveränität ist, deckt eine aktuelle Kleine Anfrage der LINKEN im Bundestag auf. Dazu erklärt die Digitalexpertin der LINKEN, Anke Domscheit-Berg:

„In wenigen Jahren haben sich die Ausgaben des Bundes für Clouds auf 286 Mio € in 2024 verdoppelt. Neben dem ITZ Bund und dem Auswärtigen Amt fällt vor allem das BMI mit hohen Ausgaben für Cloud Dienste auf, die durch das BKA und die sogenannte „Hackerbehörde“ ZITIS genutzt werden. Für 2024 und 2025 stehen allein für ZITIS 28 Mio € Haushaltsmittel zur Verfügung. Ausgaben für Nachrichtendienste fehlen aus Geheimschutzgründen, für das Militär gibt es ohne Begründung keine Angaben. Insgesamt sind die Daten unvollständig und damit ungenügend für das dringend notwendige Lagebild Digitale Souveränität. Die neue Koalition kündigt eine wirkungsorientierte Politik an und will eine bessere Datenverfügbarkeit – damit kann sie im Bund selbst anfangen, weil mit mangelnder Datenqualität und Intransparenz keine wirkungsorientierte Politik möglich sein wird.

Auch ohne Lagebild ist offensichtlich: das digitale Souveränitätsdefizit des Bundes ist enorm, auch im Bereich Cloud. Auf Open Source entfallen nur zwei Prozent der Cloud-Ausgaben, davon der Löwenanteil im Bereich Cloud Anwendungsentwicklung. Bei den Betriebsausgaben für Cloud beträgt der Anteil proprietärer Software sogar 99,9 Prozent. Bei der Entwicklung von Open Source für die Cloud sind die Sicherheitsbehörden ZITIS und BKA Vorreiter und belegen damit, dass Open Source Software zu mehr Sicherheit beitragen kann und der Ansatz „Security by Obscurity“ Unfug ist. Beim Cloud Stack ist ZITIS leider die einzige Behörde, die Open Source entwickeln ließ, bei Cloud Anwendungen entfallen auf ZITIS und BKA über 80 Prozent der Ausgaben für OSS-Entwicklungen. Laut ihrer Antwort hofft die amtierende Bundesregierung, dass eine „soll“ Vorschrift im eGovernment Gesetz zu mehr Open Source Beschaffung führen wird. Dieser Glaube ist naiv. Wer Wirkungsorientierung möchte, braucht klare und messbare Ziele, wie ein 50% Open Source Anteil bis 2029, den die SPD in Koalitionsverhandlungen fordert.

Erschreckend ist der Umstand, dass die hoffnungslos veralteten und unsicheren Netze des Bundes für die Deutsche Verwaltungscloud nicht nutzbar sind, aber auch bei der Architekturplanung für den Ersatz durch das neue Netz, den „Informationsverbund der Verwaltung“, die Kompatibilität mit dem geplanten Peering-Netzwerk der Deutschen Verwaltungscloud nicht mitgeplant wurde und jetzt erst überprüft wird. Wie ein so schwerwiegender, strategischer Fehler passieren konnte, diese beiden wichtigen Architekturvorhaben nicht zusammen zu denken, den Ersatz der Netze des Bundes und den Gang des Bundes in die Cloud, ist mir ein absolutes Rätsel. Außerdem fehlen aktuelle Leitlinien für Entscheidungen zur Nutzung von Cloud-Diensten, die es braucht für die Einhaltung hoher Sicherheitsstandards und zur Vermeidung teurer und riskanter Fehlentscheidungen. Solche Governancedefizite gefährden die Digitalisierung des Bundes.

Immerhin ist inzwischen das Cloud Service Portal der Deutschen Verwaltungscloud verfügbar und hat 40 Dienstleistungen von 11 Dienstleistern im Angebot. Eine sinnvolle Priorisierung der verfügbaren Dienstleistungen fehlt offenbar, drei dieser 40 Dienstleistungen haben irgendwie mit Hunden zu tun. Kritische Dienstleistungen befinden sich dagegen noch in Prüfung, mit unklarem Zeithorizont und unklarem Ausgang. Dazu gehören u.a. die OZG Cloud, der Bundesmessenger und der Open Source Arbeitsplatz OpenDesk, der bisher wenigstens schon über private und wirklich souveräne Anbieter (STACKIT GmbH und IONOS SE) in der Cloud verfügbar ist. Gänzlich fehlen aber Angebote des ITZ-Bund, das aus rechtlichen Gründen seine Dienstleistungen nicht einmal in der Deutschen Verwaltungscloud anbieten kann, diese Hürde muss die neue Bundesregierung schnellstmöglich beseitigen!

Noch nutzt der Bund überwiegend tatsächlich souveräne Clouds, aber ein für Hyperscaler offener Multi-Cloud Ansatz und das Festhalten an der auf Microsoft Azure basierenden DELOS-Cloud, lassen eine Verschiebung befürchten. Mindestens 32 Cloud Dienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden jetzt schon vom Bund genutzt, aber nur bei einem einzigen (AWS-Software VAULT Storage) genutzt von der Bundespolizei, stellt eine Ende zu Ende Verschlüsselung sicher, dass eine Entschlüsselung von Meta- und Nutzerdaten ausschließlich auf den Endgeräten der Nutzenden möglich ist. Bei jeglichen sensiblen Daten darf der Bund derartige Dienste nicht nutzen, da man sich jetzt noch weniger auf die Vertrauenswürdigkeit von US-Hyperscalern verlassen kann, seit Präsident Trump Europa mit diversen Drohungen unter Druck setzt. Wenn wir nicht erpressbar sein wollen, muss die neue Bundesregierung die Digitale Souveränität mit höchster Priorität behandeln, ein Kanzler Merz muss sie zur Chefsache machen. So kann er mehr zur Sicherheit unseres Landes beitragen, als mit fragwürdigen Sicherheitspaketen.“

Anhang:

Kontakt:

Anke Domscheit-Berg: Anke+presse@domscheit-berg.de

/von

Pressemitteilung: Nix mit Open Source: Bundes-IT von VMware stark abhängig, unklare Mehrkosten und Intransparenz

, , , , , , ,

In 2023 machte die Unternehmensübernahme von VMWare durch Broadcom Schlagzeilen, da VMWare Produkte u.a. bei sogenannten Virtualisierungen und Clouddiensten den Markt dominieren und Broadcom bei früheren Übernahmen durch radikale Veränderungen von Lizenzmodellen und Preisstrukturen zu Lasten der Kunden auffiel und dabei vorhandene Abhängigkeiten gnadenlos ausnutzte. Auch die Bundes-IT hängt stark von VMWare Produkten ab und ist potenziell erheblichen Preiserhöhungen unterworfen. Trotzdem vergab der Bund noch im Herbst 2023 Rahmenverträge im Volumen von 600 Mio Euro für VMWare-Produkte. Eine Kleine Anfrage der Gruppe DIE LINKE im Bundestag deckte auf, dass die Bundesregierung nicht einmal eine Risikobewertung vorgenommen hat, dass die Abhängigkeiten wie vermutet enorm sind, dabei Detailinformationen wegen potenzieller Staatswohlgefährdung eingestuft wurden, einschließlich der Folgekosten für den Bund.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Bundesregierung verspricht immer wieder mehr Digitale Souveränität, aber tut weiterhin viel zu wenig, um dieses Versprechen in die Realität umzusetzen. Das rächt sich auch im Fall der einseitigen Abhängigkeit von VMWare-Produkten, für die allein von Nov. 2019 bis Mai 2024 Lizenzen im Wert von 460 Mio € vom Bund bezogen wurden. Der Bund ruht sich darauf aus, dass er Lizenzen über Rahmenverträge mit Dritten bezieht und diese noch bis zu drei Jahre Laufzeit haben, so dass die enormen Preissteigerungen erst mit Zeitverzug bei der IT des Bundes ankommen. Aber eine entscheidende Software in einem Gesamtsystem, wie z.B. in vielen der über 180 Rechenzentren des Bundes, kann man nicht von heute auf morgen austauschen. Dazu braucht es zuerst eine Gesamtrisikobewertung und darauf aufbauend eine Exitstrategie. In ihrer Antwort gibt die Bundesregierung zu, dass es beides bisher nicht gibt.

Kurzfristig sieht sie keinerlei Handlungsbedarf, nicht einmal ein Vergabestopp wird erwähnt. Für die Gesamtwirtschaft rechnet die Bundesregierung allerdings direkt mit Einschränkungen der Zuverlässigkeit des IT-Betriebs durch auslaufende Updates, sowie mit Kostensteigerungen. Der Fall “VMware” zeigt tatsächlich sehr anschaulich, wie ein Lock-in-Effekt funktioniert, denn viele VMware-Kunden können gar nicht zu Alternativen wechseln, weil ein Umstieg zu komplex oder technisch auf absehbare Zeit nicht machbar ist. Diese Kunden müssen in den sauren Apfel willkürlicher Preiserhöhungen beißen, was besonders kleine- und mittlere Unternehmen in finanzielle Schieflage bringen kann. Aber auf drei Jahren sicherer Konditionen kann sich der Bund nicht ausruhen.

Aktuell fehlt jedoch ohnehin jeglicher Überblick, denn von den öffentlich breit diskutierten Problemen wie dem Zwang zum Umstieg von on-premise Lösungen auf Cloud-Lösungen und von Einzel- auf (in vielen Fällen erheblich teurere und oft unnötige) Bündellizenzen oder den negativen Auswirkungen beim Zwangsumstieg auf Abo-Modelle und von gestoppten Wartungsverträgen, die zu erheblichen IT-Sicherheitsrisiken führen, hat die Bundesregierung nach ihrer Aussage bisher nichts mitbekommen.

Die Folgen des schlechten Risikomanagements sollen offenbar nicht öffentlich werden, denn wichtige Teile ihrer Antwort stellte sie nur in nichtöffentlichen Dokumenten bereit, wozu auch meine Frage zu erwarteten Kostensteigerungen gehört, die mit Verweis auf eine mögliche Staatswohlgefährdung zur Verschlusssache erklärt wurden.

Vor allem aber muss die Bundesregierung endlich ihr Bekenntnis zur digitalen Souveränität auch leben und dazu gehört eine angemessene Ausstattung des Zentrums für Digitale Souveränität, damit es seine Aufgabe, Open Source Alternativen für den Bund bereitzustellen, auch erfüllen kann. Statt immer wieder Milliardenschwere Rahmenverträge mit den immer gleichen großen US-Konzernen abzuschließen, sollte der Bund konsequent das Ökosystem für Open Source Produkte weiterentwickeln und wo immer es diese Möglichkeit gibt, leistungsfähige Open Source Lösungen einsetzen. Dies gilt insbesondere für den anstehenden Wechsel hin zu einer Cloud-basierten Bundes-IT. Denn wenn nicht endlich ein konsequentes Umdenken im Sinne einer tatsächlichen digitalen Souveränität und damit auch im Sinne des Gemeinwohls stattfindet, bleibt die unabhängige, hoheitliche und sichere Digitalisierung der Verwaltung unerreichbar.“

Weiterführende Links:

/2 Kommentare/von

Meine Schriftliche Frage zur IPv6-Unterstützung des Gaia-X-Projekts

Frage: Werden die im Gaia-X-Projekt zum Aufbau einer Leistungs – und wettbewerbsfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur für Europa festzulegenden technischen Voraussetzungen für die Dateninfrastruktur von Anfang an eine vollständige IPv6-Unterstützung beinhalten, und falls nein, wieso nicht? (BT-Drucksache 19/21928)

Antwort des Staatssekretärs Dr. Ulrich Nußbaum vom 28. August 2020
GAIA-X ist eine dezentrale, föderale Dateninfrastruktur der nächsten Generation und wird keine eigenständige Cloudlösung im klassischen Sinne sein, sondern Technologien zur Verfügung stellen, um einen souveränen, interoperablen und interkonnektiven Daten und Serviceaustausch über ein Netz aus Infrastruktur-, Dienste- und Datenanbietern zu ermöglichen. Dafür sollen am Markt bestehende Infrastrukturen zu einem föderierten Netzwerk verbunden werden. Diese Infrastrukturen unterstützen IPv6 vollständig. Die Nutzungsentscheidung des jeweiligen IP-Protokolls obliegt weiterhin den einzelnen Netzwerk-Providern, die Daten- oder Serviceangebote über GAIA-X zur Verfügung stellen möchten.

/von

Medienecho

SAP und Microsoft basteln an Behörden-Cloud

,
/von