Vor einem halben Jahr warnte eine vom Innenministerium in Auftrag gegebene Studie vor einem drohenden Verlust der digitalen Souveränität der Bundesrepublik Deutschland und forderte rasche Schritte zu deren Sicherung. Wie damals schon befürchtet, ignorieren die Verantwortlichen seitdem die Gefahr fröhlich, ärgert sich Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

vor einem halben Jahr bescheinigte eine Studie [1] von PwC Strategy& der Bundesverwaltung, sie sei in allen Schichten des Software-Stacks stark abhängig von wenigen Anbietern [2]. Gerade der umfassende Einsatz von Microsoft-Produkten widerspreche dabei den strategischen Zielen der IT des Bundes und führe sowohl zu eingeschränkter Informationssicherheit als auch zu datenschutzrechtlichen Problemen. Nicht weniger als 96 Prozent aller Behörden seien von Microsoft-Produkten abhängig. Explizit warnte das Papier davor, dass US-Behörden über die Telemetriekomponenten der Microsoft-Produkte jederzeit Daten abgreifen könnten, ohne dass die Bundesverwaltung in der Lage sei, das zu verhindern.

Die eindeutige Schlussfolgerung der Studie: Die Regierung müsse rasch Schritte einleiten, um die digitale Souveränität der Bundesrepublik Deutschland zu gewährleisten und Abhängigkeiten sowie deren negative Folgen nicht noch zu verschärfen. Der Auftraggeber der Untersuchung, das Bundesinnenministerium, versprach kleinlaut Abhilfe: “Um unsere digitale Souveränität zu gewährleisten, wollen wir Abhängigkeiten zu einzelnen IT-Anbietern verringern. Außerdem prüfen wir Alternativprogramme, um bestimmte Software ersetzen zu können.” [3]

Das war am 19. September 2019. Seitdem hat sich einiges getan, das die Folgerungen aus der Studie auf drastische Weise bestätigt. So befiel etwa der über MS-Office-Dokumente verbreitete Trojaner Emotet massenhaft Bundesbehörden [4], die ihn dann ihrerseits über infizierte E-Mails weiterverbreiteten. Der Bundesrechnungshof nahm die laufende “Neuorganisation der IT-Konsolidierung Bund” unter Beschuss, weil das Projekt “seit vier Jahren ohne wichtige sicherheitstechnische Rahmenbedingungen” läuft und damit das Ziel verfehle, “die IT-Sicherheit zu erhalten und hinsichtlich der zunehmenden Vernetzung und Angriffe zu stärken” [5].

Welche “raschen Schritte” hat die Regierung bislang eingeleitet, um “die digitale Souveränität der Bundesrepublik Deutschland zu gewährleisten”? Mitte Februar 2020 ließ das Innenministerium auf eine kleine Anfrage der Grünen-Bundestagsfraktion hin wissen, sie teile die Einschätzung, “dass Abhängigkeiten von Technologieanbietern, die zu kritischen Schmerzpunkten führen, reduziert werden sollen” [6]. Sie setze sich daher zum Ziel, dass “zukünftige Software-Alternativen vorzugsweise, aber nicht zwingend, auf Open-Source-Produkten basieren, mindestens jedoch auf offenen Standards und Schnittstellen”. Seehofers Beamtenapparat war also in fünf Monaten gerade einmal dazu in der Lage, zwei Sätze umzuformulieren. Konkrete Maßnahmen: Fehlanzeige.

Anderenorts machen Behörden derweil vor, wie man digitale Souveränität gewährleistet und Abhängigkeiten zu einzelnen IT-Anbietern verringert: Die Regierung in Südkorea hat angekündigt, bis 2026 ihre 3,3 Millionen Rechner von Windows auf Linux umzustellen [7]. Das mag letztendlich klappen, oder auch nicht – aber zumindest schafft man es in Seoul noch, drängenden Problemen mit konkreten Handlungsansätzen zu begegnen. Diese Fähigkeit hat man in Berlin offensichtlich längst verloren.

Herzliche Grüße,

Jörg Luther

Chefredakteur