La souveraineté – der German Weg.
Das BSI sammelt Meldungen über Sicherheitsvorfälle in der AWS-Cloud und Rosenheimer Schüler müssen sich von Microsoft tracken lassen.
Im Zusammenhang mit digitaler Souveränität fällt oft der Begriff Open Source. Im Vergaberecht ist die Bevorzugung von Open Source nicht verbindlich geregelt. In dem in diesem Zusammenhang oft zitierten § 97 Abs. 3 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) heißt es wörtlich: “Bei der Vergabe werden Aspekte der Qualität und der Innovation sowie soziale und umweltbezogene Aspekte nach Maßgabe dieses Teils berücksichtigt.”
Leitlinien und Positionspapiere, die sich darauf berufen, sind in der Regel nicht verbindlich. Auch ein Koalitionsvertrag ist eher eine Absichtserklärung als ein Gesetz.
In den Verhandlungen diskutierten CDU und SPD hehre Ziele: “Wir sorgen für unsere digitale Souveränität: Wir definieren ebenenübergreifend offene Schnittstellen, offene Standards und treiben Open Source […] gezielt voran.“ Laut Vertrag will man „ambitionierte Zielmarken“ definieren und in den IT-Budgets „bis 2029 einen Open-Source-Anteil von 50%” erreichen.
Das Bayerische Digitalgesetz (BayDiG) (seit 1. August 2022 in Kraft) ist da schon konkreter – und bindender. Zur Wahrung der digitalen Entscheidungsfähigkeit heißt es in Art. 3 Abs. 4: “Die Behörden des Freistaates Bayern sollen bei Neuanschaffungen offene Software verwenden und offene Austauschstandards nutzen, soweit dies wirtschaftlich und zweckmäßig ist. Den Gemeindeverbänden und Gemeinden sowie den sonstigen Körperschaften des öffentlichen Rechts wird die Verwendung offener Software im Sinne des Satzes 1 empfohlen.”
Und dennoch sorgte gerade eine bayerische Stadt für Aufsehen, als sie stolz ihre Migration in die Microsoft-Cloud verkündete: “Mit der erfolgreichen Migration der Stadtverwaltung, städtischer Gesellschaften und aller 15 kommunalen Schulen in die Microsoft-Cloud hat die Stadt Rosenheim einen Meilenstein ihrer IT- und Digitalisierungsstrategie 2035 erreicht.”
Was Bund und Länder wollen (und was Bund und Länder tun)
Dabei hatte sich ausgerechnet Rosenheim mit seiner IT- und Digitalisierungsstrategie 2035 eigentlich ganz andere Ziele gesetzt. In den Leitprinzipien für die digitale Transformation heißt es: “Die Verwaltung setzt auf offene Standards und Interoperabilität, um die nahtlose Integration unterschiedlicher Systeme und Plattformen zu gewährleisten.”
Die Rosenheimer Digitalstrategie wurde bereits 2019 verabschiedet und wird seitdem fortgeschrieben. In Bezug auf die Zukunft ist darin verankert: “Für die Stadt Rosenheim bedeutet dies, die Entwicklungen auf Bundesebene genau beobachten zu müssen, um sich auf eine zukünftige Migration zu offenen und souveränen Lösungen vorzubereiten.”
Dennoch preschte die Kommune todesmutig voran. Als “Vorreiterin für eine verantwortungsvolle und zukunftsfähige Cloud-Nutzung im kommunalen Umfeld” wolle man sich positionieren und ein “praxisnahes Referenzmodell für eine sichere, wirtschaftliche und souveräne Cloud-Einführung im öffentlichen Sektor” schaffen. – wie es in der Pressemeldung vom 20.1.26 heißt. Das wirft Fragen auf.
Holger Dyroff, Landessprecher Bayern, Open Source Business Alliance – Bundesverband für digitale Souveränität e. V. sagt dazu: “Die Stadt Rosenheim stellt ihre Microsoft-365-Migration als ‚Referenzmodell‘ und Schritt Richtung ‚digitale Souveränität‘ dar. Aus Sicht der Open Source Business Alliance ist das mindestens erklärungsbedürftig: Souveränität entsteht nicht durch den Wechsel in eine Cloud, sondern durch offene Standards, echte Wechseloptionen und kontrollierbare Abhängigkeiten. Wenn zentrale Funktionen wie Identität, Kollaboration, Datenablage und Endpoint-Management in einem proprietären Komplett-Ökosystem gebündelt werden, steigt das Risiko von Lock-in-Effekten – und damit die langfristige Abhängigkeit.”
Auch Jutta Horstmann, Co-CEO der Heinlein-Gruppe ist enttäuscht: “Die Stadt Rosenheim setzt mit ihrer Migration zu Microsoft 365 ein fatales Signal: Statt digitale Souveränität zu stärken, vertieft sie die Abhängigkeit von einem US-Konzern – und das, obwohl es längst leistungsstarke Open-Source-Alternativen gibt. ... Microsofts Cloud-Lösungen mögen bequem erscheinen, doch der Preis ist hoch: Datenhoheit, Flexibilität und langfristige Kostenkontrolle können nicht erreicht werden.”
Benjamin Schilz, CEO von Wire, sieht vor allem sicherheitskritische Aspekte: “Das Projekt in Rosenheim zeigt, dass Kommunen digitale Souveränität und Ende-zu-Ende-Sicherheit heute bewusst einfordern. In der Praxis wird jedoch sichtbar, dass Microsoft 365 diesen Anspruch nur eingeschränkt abbildet: Auch mit den aktuellen Erweiterungen bleibt die Ende-zu-Ende-Verschlüsselung etwa in Microsoft Teams ein optionales, gezielt zu konfigurierendes Feature, das nur ausgewählte Call- und Meeting-Szenarien abdeckt, zentrale Funktionen wie Aufzeichnung oder Transkription deaktiviert und Metadaten weiterhin ausnimmt. Für sicherheits- und compliance-kritische Umgebungen ist das eher eine punktuelle Absicherung als eine durchgängige E2EE-Architektur.”
“Digitale Souveränität bedeutet nicht nur Funktionsumfang oder Compliance auf dem Papier, sondern die bewusste Reduktion technischer, rechtlicher und geopolitischer Abhängigkeiten von außereuropäischen Plattformanbietern” so Schilz weiter.
Souverän? Ja! Aber.
Erst zwei Tage vor der Rosenheimer Pressemeldung (am 18.1.) sorgte das bayerische Digitalministerium mit dem Abschluss eines Rahmenvertrags über den Einsatz von Microsoft-Clouddiensten wie MS 365, Teams und Copilot in Freistaat und Kommunen für einen Eklat. Der Vertrag mit einem Volumen von fast einer Milliarde Euro soll an den Parlamentariern vorbei eingefädelt worden sein – und das in einer Zeit, in der die Rufe nach digitaler Souveränität und Open-Source-Alternativen im öffentlichen Sektor lauter werden.
Bayerns Digitalminister Fabian Mehring äußerte im Rahmen eines BR-Sonntags-Stammtisches scharfe Kritik: “Wenn wir darüber reden, dass wir über Jahrzehnte von billiger Energie und billigem Gas aus dem Kreml von Putin abhängig gewesen sind (…), dann kann unser Plan doch dafür nicht sein, wieder abhängig und erpressbar zu sein.”
Zwar räumte Mehring ein, “der Ansatz von Finanzminister Füracker sei durchaus richtig, wenn es darum gehe, bessere Preise und eine einheitliche Struktur aller Microsoft-Lizenzen für den Freistaat und Bayerns Kommunen zu verhandeln.” Er wies allerdings auch darauf hin: “Seit der letzten Verhandlung mit Microsoft habe sich die weltpolitische Lage fundamental geändert. Deshalb müssen wir solche alten Ideen nach meinem Verständnis wenigstens an den neuen Realitäten messen."
Dyroff sieht das im Fall Rosenheim ähnlich: “Wichtig ist außerdem die Neubewertung. Solche Migrationsprogramme haben typischerweise lange Vorläufe – es ist daher naheliegend, dass Rosenheim diesen Kurs bereits vor der jüngsten geopolitischen Zuspitzung und der aktuellen Debatte um digitale Abhängigkeiten eingeschlagen hat. Genau deshalb braucht es jetzt einen ehrlichen Realitätscheck. Wenn der bayerische Digitalminister eine neue Zeit der digitalen Souveränität ausruft und eine ergebnisoffene Neubewertung fordert, dann kann eine Entscheidung, die Abhängigkeiten strukturell vertieft, heute nicht mehr einfach als ‚souverän‘ verkauft werden, sondern muss an harten Kriterien gemessen werden: Interoperabilität, Portabilität, Exit-Fähigkeit und total cost of ownership.”
Dyroffs Fazit ist deutlich: “Das Bayerische Digitalgesetz gibt die Richtung klar vor: Bei Neuanschaffungen sollen offene Software und offene Austauschstandards genutzt werden – Kommunen wird das ausdrücklich empfohlen. Wir wünschen uns deshalb produktneutrale Entscheidungen nach transparenten Kriterien (Interoperabilität, Portabilität, Wechselkosten) statt PR-Begriffen wie ‚souverän‘.“
“Gerade im Schulbereich ist Transparenz wichtig”, sagt Dyroff. “Der Freistaat stellt mit der BayernCloud Schule (ByCS) zentral bereitgestellte Anwendungen kostenfrei und datenschutzkonform für Schulen in Bayern bereit. Vor diesem Hintergrund sollte nachvollziehbar offengelegt werden, warum Rosenheim für 15 kommunale Schulen zusätzlich einen proprietären Komplett-Stack ausrollt und welche Mehrwerte bzw. Mehrkosten damit verbunden sind.”
“Bayern bleibt damit auf der Strecke, während andere Bundesländer und Kommunen zeigen, wie moderne IT wirklich funktioniert: offen, sicher und ohne Lock-in-Effekte”, sagt Horstmann und appelliert: “Es ist Zeit, dass öffentliche Einrichtungen endlich verstehen: Zukunftsfähige Digitalisierung braucht keine Monopole, sondern echte Alternativen – transparent und zukunftssicher mit Open Source.”
Etwas Hoffnung bleibt. Denn dass es auch in Bayern anders geht, zeigt Rosenheims Nachbarlandkreis Traunstein: “Dort wurde politisch der Weg eingeschlagen, bis 2029 schrittweise Produkte großer US-Anbieter – ausdrücklich auch Microsoft – durch Open-Source-Lösungen zu ersetzen, um Abhängigkeiten zu senken und Lizenzkosten zu reduzieren”, erklärt Dyroff.
Stuttgart 21: Blaupause für den digitalen Wandel Deutschlands
Spätestens seit 2013 wird der Ruf nach digitaler Souveränität in Deutschland von Jahr zu Jahr lauter. Unabhängig will man werden. Die Hoheit über seine Daten will man behalten. Europäische Technologien und Anbieter sollen gestärkt werden. Open Source will man bevorzugen.
Zumindest an Letzteres kann man einen Haken machen. Cloud-Technologie basiert im Wesentlichen auf Open Source – auch die von AWS oder Google.
Das schien sich auch das BSI gedacht zu haben, als die Behörde ihr NIS-2-Meldeportal für Sicherheitsvorfälle in der AWS-Cloud aufgezogen hat und nicht beim strategischen Partner IONOS, der – wie BSI-Präsidentin Plattner in der gleichen Woche verkündete – “mit dem Aufbau einer souveränen Cloud für den Bund einen wichtigen Beitrag zur Cybernation Deutschland” leistet.