GI fordert größere Unabhängigkeit bei öffentlicher IT

Die Gesellschaft für Informatik e.V. (GI) begrüßt die Schaffung einer kollaborativen Freie-Software-Plattform für Verwaltungen und fordert eine bessere Koordination der öffentlichen IT-Infrastrukturen.

Eine im Jahr 2019 im Auftrag des Bundesinnenministeriums durchgeführte Studie kommt zu dem Schluss, dass bei der von der öffentlichen Hand betriebenen IT eine große und zum Teil sogar vollständige Abhängigkeit von einigen wenigen Herstellern besteht. In manchen Bereichen der Wirtschaft gilt dies auch für sensible Umgebungen, die zur kritischen Infrastruktur gerechnet werden.

Daraus resultieren erhebliche Risiken, die bis zum vollständigen Ausfall der betreffenden IT führen können. In einer Zeit, in der politische Erpressung, Vertragsbruch und gezielte Attacken auf Firmen mit dem Ziel, diese vom Markt auszuschließen, von verschiedenen politischen Akteuren als normal betrachtet werden, besteht durchaus die Gefahr, dass einzelne Hersteller mit politischem Druck gezwungen werden, ihre Produkte aus bestimmten Ländern zurückzuziehen oder deren Lauffähigkeit dort zu beschränken. Es ist auch möglich, dass manche Produkte nicht mehr verwendet werden können, weil sich ihr Hersteller aus dem Markt zurückgezogen hat, die Pflege des Produkts aufgegeben hat oder dessen Funktionalität oder Lizenzierung so geändert hat, dass es für seinen bisherigen Zweck nicht mehr verwendet werden kann oder nicht mehr legaler Weise eingesetzt werden darf.

Ein derartiger Ausfall von IT-Komponenten eines Herstellers kann volkswirtschaftlich katastrophale Folgen haben, wenn keine Möglichkeit besteht, kurzfristig und mit tragbarem Aufwand auf vergleichbare Komponenten anderer Hersteller umzusteigen. Insbesondere für Systeme der öffentlichen Hand und für Systeme im Bereich der Kritischen Infrastrukturen (KRITIS) stellt dieses Risiko eine inakzeptable Gefahr und damit ein Sicherheitsrisiko durch Verletzung der Verfügbarkeit dar. Aus diesem Grund gibt es auf der Ebene der Bundesregierung und der EU Anstrengungen, diese Abhängigkeiten durch eine Strategie der digitalen Souveränität zu reduzieren, doch zeigt die aktuelle Entwicklung gerade auf dem Gebiet zentraler Software-Komponenten eher die Tendenz, die Abhängigkeit von einzelnen Herstellern noch zu verstärken.

Die GI fordert deshalb:

• Ein besser koordiniertes Vorgehen, um solche Abhängigkeiten zu verringern. So ist es nicht akzeptabel, wenn bei öffentlichen Ausschreibungen schon die Nutzung der Software-Komponenten eines (Quasi-)Monopolisten vorgegeben wird.
• Die Verwendung proprietärer Datenformate, die gültige Standards wie ISO/IEC 26300 unterlaufen, ist abzulehnen.
• Bei neu zu erstellenden IT-Systemen ist sicherzustellen, dass in kritischen Bereichen eine langfristige, uneingeschränkte und auch nicht durch einen Hersteller willkürlich zu beendende Nutzung gewährleistet ist, was beispielsweise durch Verwendung von Open Source realisierbar ist.
• Alternativ ist sicherzustellen, dass bei Ausfall eines Herstellers eine schnelle und mit nur geringem Aufwand durchzuführende Migration erfolgen kann.
• Für schon existierende Systeme im öffentlichen Bereich und in KRITIS-Umgebungen, die derzeit von einzelnen Herstellern abhängig sind, ist kurz- bis mittelfristig eine derartige Rückfallstrategie zu realisieren.

Die GI begrüßt ausdrücklich das Konzept für eine Kollaborative Freie-Software-Plattform für Verwaltungen „Ein Ort für öffentlichen Code“ der Free Software Foundation Europe (FSFE), des Deutschen Landkreistages, der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt), in der Software für die Öffentliche Hand abgelegt und zur Nutzung durch weitere Teilnehmer verfügbar gemacht wird. Durch Nutzung der dort verfügbaren Software lassen sich die beschriebenen Risiken sowie der unnötige Mehraufwand für die vielfache Erstellung funktional weitgehend gleicher Funktionalitäten deutlich reduzieren.

Weitere Informationen finden Sie unter https://pak-datenschutz.gi.de/