Beiträge

Mehr IT-Sicherheit und Unabhängigkeit der öffentlichen Verwaltung von IT-Produkten großer Konzerne sind seit Jahren Thema, nicht erst seit dem Mitschnitt einer WebEx-Videokonferenz von Militärs. Seit Jahren soll mehr Open Source Software (OSS) in Behörden eingesetzt werden. Im Dezember 2022 wurde dafür das Zentrum für Digitale Souveränität (ZenDiS) gegründet, aber nun trotz steigender Relevanz ausgebremst. Wie aus zwei schriftlichen Fragen von Anke Domscheit-Berg hervorgeht, hat das ZenDiS weder die personellen, noch die finanziellen Ressourcen, um die groß gesteckten Ziele zu erreichen, z.B. wie geplant den Open Source Arbeitsplatz für die Verwaltung in 2025 breit auszurollen. Laut Antwort der Bundesregierung hat das ZenDis erst neun Mitarbeiter*innen und nur einen einzigen Auftrag(für die Plattform OpenCoDE) erhalten. Eine zusätzliche Bremse für das ZenDiS ist die fehlende Integration der Länder, obwohl es seit 2022 Beitrittsgesuche gibt. Auch die Vergabepraxis des Bundes stützt bisher zu über 99 Prozent proprietäre Software. Alles das geht zu Lasten der IT-Sicherheit, führt zu bleibend hohen Lizenzkosten und gefährlichen Abhängigkeiten, statt das Ökosystem für Open Source Software zu fördern.

Dazu erklärt Anke Domscheit-Berg, digitalpolitischen Sprecherin der Linken im Bundestag:

„Die Ankündigungen der Ampel-Regierung in Koalitionsvertrag und Digitalstrategie zu mehr Einsatz von Open Source im Bund waren vielversprechend, erste Schritte gingen in die richtige Richtung, z.B. der Aufbau des Zentrums für digitale Souveränität oder die Vorgabe im neuen Onlinezugangsgesetz, dass künftig Open Source Software Vorrang haben soll bei der Digitalisierung der Verwaltung. Aber Absichtserklärungen und die Gründung einer GmbH sind keine ausreichenden Voraussetzungen, um die beschlossenen Ziele auch zu erreichen. Erst im Dezember 2023 antwortete mir die Bundesregierung auf eine Kleine Anfrage, dass ab 2025 der breite Rollout des Open Source Arbeitsplatzes im Bund (OpenDesk) erfolgen soll. Mir ist völlig schleierhaft, wie dieses Ziel erreicht werden soll, denn auch ein Jahr nach seiner Gründung gibt es für OpenDesk nur drei Mitarbeiter beim ZenDiS und überhaupt keine Beauftragung durch den Bund, dabei sollte OpenDesk das wichtigste Projekt des ZenDiS sein und ist auch Schwerpunkt einer neuen deutsch-französischen Vereinbarung zur Förderung von Open Source.

Mit nur neun Mitarbeiter*innen, davon nur vier für konkrete Open Source Vorhaben, und einem Budget in 2024 von geradezu lächerlichen 19 Mio, die auf drei große Vorhaben aufgeteilt werden sollen, kann man nicht zeitnah eine stärkere digitale Unabhängigkeit erreichen und damit zur dringend nötigen Steigerung der IT-Sicherheit beitragen.

Kein einziges Bundesland wurde bisher wie geplant am ZenDiS beteiligt, dabei könnte die direkte Beteiligung der Länder zu mehr Beauftragungen und damit zu mehr Ressourcen und mehr Fortschritten bei der Umsetzung von Open Source Vorhaben führen. An der Bereitschaft der Länder liegt es nicht, denn Thüringen hat schon im Juni 2022 eine Absichtserklärung unterschrieben und wartet bisher vergeblich auf das Go des Bundes.

Auch die Vergabepraxis hat mit den Erklärungen der Ampel-Regierung nichts zu tun. So entfielen in dieser Legislatur für die Entwicklung von Software oder für Dienstleistungsaufträge im Zusammenhang mit Software in dieser Legislatur nur 0,5 Prozent auf Open Source, wie aus meiner Kleinen Anfrage vom Dezember 2023 hervorgeht.Ich sehe nicht, wie der krasse Unterschied zwischen gelebter Praxis und Absichtserklärungen verringert werden kann, wenn Vergabevorschriften nicht angepasst werden, der Einsatz von Open Source durch den Bund im Onlinezugangsgesetz nur „soll-Vorschrift“ bleibt statt einer „muss-Vorschrift“ wie im Schweizer Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben, und wenn weiterhin das ZenDiS ausgebremst und massiv unterfinanziert ist. So kann die Ampel-Regierung absehbar eines ihrer wichtigsten digitalpolitischen Koalitionsziele auch bis zum Ende der Legislatur nicht mehr erreichen. Das ist nicht nur für die Ampel peinlich, sondern bedeutet insbesondere weniger IT-Sicherheit, anhaltende Abhängigkeiten vor allem von US-Konzernen, extrem hohe Lizenzkosten (in 2025 laufen die milliardenschweren Lizenzverträge des Bundes mit Microsoft aus) und eine verpasste Chance zur Förderung eines global relevanten Ökosystems für Open Source Software.“

Weiterführende Links:

Meine Frage:

„Welche konkreten Aufträge hat der Bund dem Zentrum für Digitale Souveränität
(ZenDiS) bisher seit Gründung erteilt oder plant deren Erteilung in 2024 (bitte jeweils
Gegenstand und Auftragsvolumen nennen), und wieviel Gesamtbudget steht dem
ZenDiS in 2024 für die Erfüllung seiner Aufgaben zur Verfügung, sowohl aus aktuel-
len Haushaltstiteln als auch als tatsächlich vollständig für das ZenDiS nutzbare Aus-
gabereste?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathof:

„Das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) wurde
seit Gründung mit der „Betriebsleistungen und Dienstleistungen für die OS-Plattform
Open CoDE“ mit einen Auftragsvolumen i.H.v 1.192.827,58 Euro beauftragt.
Grundsätzlich soll das ZenDiS in 2024 mit der Umsetzung und Weiterentwicklung
von
• openDesk,
• OpenConference,
• sowie die Weiterführung von Open CoDE
beauftragt werden.
Für diese Beauftragungen stehen (inklusive der bereits beauftragen Leistungen für
Open CoDE) insgesamt 19.070 T Euro in 2024 zur Verfügung.

Es liegen noch Ausgabereste in Höhe von 25.682 T Euro aus dem Haushaltsjahr
2022 vor. Die tatsächliche Höhe der verfügbaren Ausgabereste steht jedoch erst
nach Abschluss der Haushaltsrechnung 2023 fest. Die Inanspruchnahme der Ausga-
bereste für Beauftragungen des Bundesministerium des Innern und für Heimat (BMI)
bei der ZenDiS GmbH richtet sich dann nach § 45 Abs. 3 Bundeshaushaltsordnung
(BHO).“

Antwortschreiben im Original (geschwärzt):

Meine Frage:

„Welche Unternehmen entsprechen den 10 nicht namentlich genannten Vertragspartnern,
deren Rahmenverträge in der Antwort der Bundesregierung zu Frage 18 der
Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 20/9641 in Anlage
5 angegeben wurden (bitte alle 10 den jeweiligen Nummern Vertragspartner 1
bis 10 zuordnen), und falls darunter nicht die Firma SAP ist, welche aktuell laufenden
Rahmenverträge hat der Bund mit dem Unternehmen SAP (bitte jeweils mit Inhalt,
Volumen in Euro und Laufzeit [Beginn und Ende] angeben)?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff:

„Im Geschäftsbereich des Bundesministeriums des Innern und für Heimat (BMI) hält
das Beschaffungsamt des BMI den Rahmenvertrag 20490 „Überlassung (Kauf) und
Pflege von SAP-Software“ zum Abruf durch die Bundesverwaltung vor.
Der Rahmenvertrag wurde am 27. November 2018 geschlossen und hat eine Laufzeit
bis zum 31. Dezember 2023. Der Rahmenvertrag enthält keine Mindest- oder
Maximalabnahmeverpflichtung. Aktuell beträgt das abgerufene Volumen
146.283.375,04 Euro.
Bitte beachten Sie, dass das abgerufene Volumen in einem laufenden Rahmenvertrag
stets nur eine Momentaufnahme darstellt, da sich der Wert durch zukünftige Abrufe
bis zum Laufzeitende verändern kann.
Nach Abwägung mit dem parlamentarischen Fragerecht kann nach Art. 12 und
Art. 14 des Grundgesetzes eine Nennung der Namen nicht erfolgen, da keine Genehmigung
zur Nennung der Namen seitens der betreffenden Rahmenvertragspartner
vorliegt.“

Antwortschreiben im Original:

Meine Frage:

„In welcher Höhe liegen oder lagen Ausgabereste aus dem Bundeshaushalt 2023 oder
aus Vorjahren für das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung
(ZenDiS) GmbH vor (Stand: Dezember 2023), und wurden oder werden diese
Ausgabereste in voller Höhe noch in 2023 an die ZenDiS GmbH überwiesen (falls
nicht, bitte angeben, ob das ZenDiS trotzdem auf diese Ausgabereste in 2024 zugreifen
kann)?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff:

„Aus dem Haushaltsjahr 2022 liegen in 0602 532 13 Ausgabereste in Höhe von
25.682.000 Euro für das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung
(ZenDiS) inkl. Souveräner Arbeitsplatz vor. Es wird angestrebt, den Verfügungszeitraum der bereits gebildeten Ausgabereste
aufgrund des weiterhin bestehenden Bedarfes zu verlängern. Die Inanspruchnahme
der Ausgabereste für Beauftragungen des Bundesministeriums des Innern und für
Heimat bei der ZenDiS GmbH richtet sich dann nach § 45 Abs. 3 der Bundeshaushaltsordnung.“

Antwortschreiben im Original:

Eine aktuelle Kleine Anfrage der Linken im Bundestag zur Bewertung der Digitalen Souveränität des Bundes erfragte Informationen zu Rahmenverträgen der Bundes-IT und zu Ausgaben für proprietäre Software und Open Source Software (OSS). Aus der Antwort der Bundesregierung mit DS 20/9641 ergibt sich, dass die 10 größten Vertragspartner für IT-Rahmenverträge ein gemeinsames Rahmenvertragsvolumen von über 13,6 Mrd. Euro haben. Davon entfällt allein auf Produkte und Dienstleistungen des US-Herstellers Oracle ein Gesamtvertragsvolumen von 4,8 Milliarden Euro, mit dem größten Einzel-Rahmenvertrag über 4,6 Mrd Euro bei einer Laufzeit bis 2030. Weitere knapp 1,3 Milliarden entfallen auf zwei Rahmenverträge für Lizenzen des US-Unternehmens Microsoft.

Aus der detaillierten Abfrage von Ausgaben zu Entwicklungsaufträgen von Software und zu Dienstleistungen im Zusammenhang mit Software ergab sich, dass der Bund seit Beginn dieser Legislatur nur etwa 0,5 Prozent seiner entsprechenden Ausgaben für OSS einsetzte. So vergab das Digitalministerium Entwicklungsaufträge im Volumen von 22,3 Mio Euro, wovon aber nur 121.000 Euro (0,55 Prozent) auf die Entwicklung von OSS entfielen. Für Dienstleistungen im Zusammenhang mit Software verausgabte der Bund insgesamt sogar etwa 3,5 Milliarden Euro, auch davon flossen aber nur 18,6 Mio (0,54 Prozent) an Open Source. Sowohl der Koalitionsvertrag der Ampel-Regierung als auch ihre Digitalstrategie versprachen jedoch, auf Open Source zu setzen. Dazu erklärt Anke Domscheit-Berg:

“Ich kann mich an keine Regierung erinnern, bei der digitalpolitische Ankündigungen und ihre Umsetzung derart eklatant auseinander klafften! Die Förderung von Open Source und die Betonung der Digitalen Souveränität als Richtschnur für IT-Entscheidungen sind offensichtlich reine Lippenbekenntnisse, denn in der Praxis setzt auch die sogenannte Fortschrittskoalition auf die übliche Praxis, für sehr viel Geld teure proprietäre Software insbesondere von großen US-Konzernen einzukaufen. Nicht einmal der für die Digitalstrategie zuständige Minister Wissing hält sich an das, was er darin angekündigt, denn für OSS Entwicklung gab er nur 0,5 Prozent seines Budgets für Softwareentwicklung aus.

Dass außerdem mehrjährige IT-Rahmenverträge über extrem hohe Summen v.a. mit US-Konzernen sowie zu ihren Produkten abgeschlossen wurden, ist genau das Gegenteil von Stärkung der digitalen Souveränität und erhöht auf viele Jahre die Abhängigkeit des Bundes von einzelnen US-Konzernen. Mit einer einzigen US-Firma (Oracle) sogar einen Rahmenvertrag über 4,6 Mrd Euro abzuschließen, der noch bis zum Ende der nächsten (!) Legislatur laufen wird, ist schlicht auch obszön, denn diese Summe ist doppelt so hoch, wie die Kosten der mühsam erkämpften Kindergrundsicherung bei ihrer Einführung und auch in Anbetracht des für 2024 zu erwartenden Kahlschlaghaushalts für viele soziale Belange. Außerdem wird damit die Abhängigkeit von einem einzelnen Hersteller über Jahre hinweg extrem erhöht. Wer aber abhängig ist von einzelnen Firmen und ihren Produkten, wird erpressbarer – muss also häufig immer mehr bezahlen, ist außerdem weniger flexibel und geht ein zusätzliches IT-Sicherheitsrisiko ein. Deshalb ist es völlig inakzeptabel, dass der Koalitionsvertrag zwar einerseits verspricht, die digitale Souveränität durch mehr OSS zu sichern, aber gleichzeitig der Bund mit milliardenschweren Rahmenverträgen das Gegenteil erreicht und Tatsachen schafft, die bei einer Handvoll US-Konzernen die Kassen klingeln lassen, aber jede Menge Nachteile und Risiken bedeuten, bis hin zum Risiko, dass es über eingebaute Hintertüren Datenabflüsse an US-Geheimdienste gibt.

Am Ende erkennt man doch immer am Geld, wie ernst es eine Regierung mit ihren Versprechen meint! Bisher stehen auch im Haushalt für 2024 Kürzungen ausgerechnet für Open Source Initiativen an, denn die Haushaltsmittel für das Zentrum für Digitale Souveränität sollen fast halbiert werden. Diese Kürzungen betreffen die beiden wichtigsten Vorhaben des Bundes zur Förderung von OSS: die Entwicklung eines Open Source Arbeitsplatzes, als Alternative zu Microsoft Office, und die Plattform OpenCode, auf der Software der Verwaltung veröffentlicht werden soll.

Würde es die Bundesregierung ernst meinen mit der Förderung von Open Source in der eigenen Verwaltung, gäbe es messbare Ziele und ein Monitoring für den Anteil von OSS im Bund, beides existiert bisher nicht, selbst ein Software-Lizenzmanagementsystem befindet sich erst in der Planungsphase, was bei so hohen Ausgaben für Lizenzen schlicht nicht nachvollziehbar ist. Die gesamte Praxis der Bundesregierung zur Entwicklung von Software und Vergabe von Rahmenverträgen konterkariert ihre eigenen strategischen Ziele und trägt viel zu wenig zur Entwicklung europäischer Open Source Alternativen und eines Open Source Ökosystems bei, sie schadet außerdem aktiv der digitalen Souveränität.”

Links:

Anmerkung:

Die Detailtabellen zu den einzelnen Entwicklungs- und Dienstleistungsverträgen (3 weitere Anlagen) sind eingestuft als „Nur für den Dienstgebrauch“ und können daher nicht veröffentlicht werden.

Frage

Wie definiert die amtierende Bundesregierung Digitale Souveränität und welche Maßnahmen/Projekte sind diesbezüglich in Planung/Umsetzung (gegebenenfalls bitte nach den fünf größten
Maßnahmen/Projekten jeweils tabellarisch nach Partner/Stakeholder, Kurzbeschreibung d. Projekts, beteiligtes Bundesministerium, inkl. Bundeskanzleramt und nachgeordnete Behörden, Förderhöhe sowie -zeitraum aufschlüsseln)? (BT-Drucksache 20/456 Frage 7)

Antwort des Staatssekretärs Udo Philipp vom 17. Januar 2022

„Digitale Souveränität beschreibt die Fähigkeit sowohl von Individuen als auch der Gesellschaft, die digitale Transformation – mit Blick auf Hardware, Software, Services, sowie Kompetenzen – selbstbestimmt zu gestalten. Digital souverän zu sein bedeutet im Rahmen des geltenden Rechtes, souverän zu entscheiden, in welchen Bereichen Unabhängigkeit erwünscht oder notwendig ist.“ (Datenstrategie der Bundesregierung, 2021). Drucksache 20/456 – 8 – Deutscher Bundestag – 20.

Für diese Legislatur ist das mein letzter Videoreport zum Digitalausschuss, daher ist er auch etwas länger geraten. Als Gäste war Bundesinnenminister Seehofer da, sowie Dr. Markus Richter, CIO des Bundes und CIO des BMI, und Harald Joos, CIO des Bundesministerium der Finanzen.

Seehofer lobhudelte zur Digitalisierung in Deutschland und verblüffte den Digitalausschuss mit der Aussage, ein künftiges Digitalministerium hätte gar nicht mehr viel zu tun, selbst der Breitbandausbau sei ja quasi schon so gut wie beendet. Ich löcherte ihn mit Fragen zum Staatstrojaner, zum (fehlenden) Lagebild für Gewalt gegen Frauen, zur Strategie des BMI im Umgang mit Bedrohungslagen durch Ransomware und ich befragte ihn zum barrierefreien Notruf und erzählte von der sehr negativen Erfahrung von Julia Probst, auf Twitter @EinAugenschmaus, bei einem Notruf mit Gebärdendolmetscherin in einer Videoschalte.

Bei den beiden CIOs ging es um Maßnahmen, die digitale Souveränität der Verwaltung zu verbessern, da ging es erfreulich viel um Open Source, vom Verwaltungs-OSS-Arbeitsplatz bis zu einem nationalen Open Source Hyperscaler – eine quasi „TÜV-geprüfte“ Cloud, die vom BSI und vom BfDI für vertrauenswürdig und sicher befunden wurde und von allen Verwaltungen – von Bund bis zur Kommune genutzt werden könnte. Spannend klang das. Aber kommt es auch? Am Ende ging es auch noch mal ums Onlinezugangsgesetz, hier habe ich auch auf einige Eurer Fragen Antworten erhalten können.

Weiterlesen

Medienecho