Digitalisierung in Schleswig-Holstein – Chancen durch Open Source

Der Schleswig-Holsteinische Landtag hat in seiner Plenumssitzung am 14. Juni 2018 einstimmig beschlossen, dass die Nutzung quelltextoffener Software („Open Source“) künftig eine besondere Rolle spielen soll. Bei solcher Software ist der Programmcode offengelegt und daher im Gegensatz zur Closed-Source-Software überprüfbar. In dem Beschluss des Landtages wird das Ziel benannt, „möglichst viele Verfahren bei wesentlichen Änderungen oder der Neuvergabe auf Open-Source-Software umzustellen“.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, unterstützt dieses Anliegen: „Ohne Beherrschbarkeit der Datenverarbeitung ist Datenschutz nicht zu erreichen. Für Beherrschbarkeit wiederum ist Transparenz essentiell. Und eine geeignete Basis dafür ist Open-Source-Software. Daher freue ich mich, dass dieser Punkt bei künftigen Beschaffungen und Ausschreibungen als Kriterium betont werden soll. Dies ergänzt die Ausschreibungskriterien der Datenschutzkonformität und des eingebauten Datenschutzes, wie dies Artikel 25 der Datenschutz-Grundverordnung verlangt.“

Die Abgeordneten haben das Zentrale IT-Management des Landes gebeten, bis Anfang 2020 einen Bericht vorzulegen, „wie und in welchem Zeitfenster das Ziel der vollständigen Ablösung von Closed Source durch Open-Source-Software zu erreichen ist“ (LT-Drs. 19/756). Hansen betont: „Eine sorgfältige Erarbeitung dieser Strategie ist sicherlich nötig. Doch die Verwaltung muss ohnehin die Umsetzung der Anforderungen Transparenz, Sicherheit und Datenschutz in der Datenverarbeitung von Herstellern und Dienstleistern einfordern. Auch bei der Beauftragung eigener Entwicklungen von Fachverfahren hat die Verwaltung es in der Hand, Open Source zur Bedingung zu machen.“

In ihrem Antrag weisen die Parlamentarier darauf hin, dass Politik und Verwaltung bemüht sein müssten, „digital souveräner und unabhängiger von der Marktmacht weniger, oft marktbeherrschender Konzerne“ zu werden. Hansen teilt diese Auffassung auch aus Datenschutzsicht: „Faktisch bestimmen diese Konzerne zurzeit die Regeln großer Teile unseres digitalen Lebens. Alternativen, die aus Datenschutzsicht besser wären, hatten es bislang schwer auf dem Markt. Mit der Datenschutz-Grundverordnung werden die Bedingungen für Anbieter von datenschutzkonformen und sicheren Lösungen deutlich besser, aber der Status quo heutiger Software ist noch weit davon entfernt, dass Datenschutz und Sicherheit von Anfang an in die Systeme eingebaut werden. Geeignete Open-Source-Lizenzen erlauben es, nicht nur intransparenten Datenübertragungen zum Hersteller und anderen Datenabflüssen auf den Grund zu gehen, sondern sogar diese direkt im Code abzustellen.

Hansen sieht einen Fokus auf Open-Source-Software als einen notwendigen Schritt, dem weitere folgen müssen: „Hier dürfen wir nicht stehenbleiben. Zum einen bildet Software natürlich nur einen Teil der Datenverarbeitungssysteme – auch Hardware und Dienstleistungen müssen besser überprüfbar sein. Dasselbe gilt für Standards im Bereich komplexer Sicherheitsverfahren, zB. weltweit verwendete

Verschlüsselungsalgorithmen: Die Snowden-Dokumente haben enthüllt, dass darin kaum durchschaubare Hintertüren für behördliche Zugriffe versteckt sein können. Zum anderen garantiert die Eigenschaft „Open Source“ allein nicht, dass die Verarbeitungssysteme sicherer sind. Eine theoretische Möglichkeit der Überprüfung reicht nicht aus, sondern die eingesetzten Verfahren müssen tatsächlich geprüft werden. In der Vergangenheit gab es auch in Open-Source-Komponenten Fälle, in denen Sicherheitsdefizite erst sehr spät offenbar wurden. Dennoch gilt: Die Öffentlichkeit des Quellcodes mit der Möglichkeit einer unabhängigen Überprüfung ist keine Garantie für Sicherheit, aber eine wichtige Voraussetzung dafür.“

Wichtig für eine Souveränität und ein Herauslösen aus bestehenden Abhängigkeiten von großen Konzernen, die sich nicht in die Karten schauen lassen wollen, ist aus Hansens Sicht ein ausreichendes Know-how bei den Verantwortlichen: „Das Land braucht Expertinnen und Experten aus den Bereichen Informationssicherheit und Datenschutz, damit die Verwaltung ihren Kontrollpflichten nachkommen kann. Nur mit einer geeigneten Systemgestaltung und Überprüfung wird Schleswig-Holstein das Potenzial der Digitalisierung verantwortungsvoll und zukunftssicher nutzen können.“

Weiterführende Informationen:

Antrag der Fraktionen von CDU, Bündnis`90/Die Grünen und FDP „Nutzung von Open-Source-Software“ (LT-Drs. 19/756):

https://www.landtag.ltsh.de/infothek/wahl19/drucks/00700/drucksache-19-00756.pdf

Auszug aus dem Tätigkeitsbericht 2017 der Landesbeauftragten für Datenschutz „Informationssi-cherheit – von ‚I love you‘ bis ‚WannaCry‘“:

https://www.datenschutzzentrum.de/tb/tb36/kap02.html #23