Die Gesellschaft für Informatik e.V. (GI) begrüßt die Schaffung einer kollaborativen Freie-Software-Plattform für Verwaltungen und fordert eine bessere Koordination der öffentlichen IT-Infrastrukturen.
Eine im Jahr 2019 im Auftrag des Bundesinnenministeriums durchgeführte Studie kommt zu dem Schluss, dass bei der von der öffentlichen Hand betriebenen IT eine große und zum Teil sogar vollständige Abhängigkeit von einigen wenigen Herstellern besteht. In manchen Bereichen der Wirtschaft gilt dies auch für sensible Umgebungen, die zur kritischen Infrastruktur gerechnet werden.
Daraus resultieren erhebliche Risiken, die bis zum vollständigen Ausfall der betreffenden IT führen können. In einer Zeit, in der politische Erpressung, Vertragsbruch und gezielte Attacken auf Firmen mit dem Ziel, diese vom Markt auszuschließen, von verschiedenen politischen Akteuren als normal betrachtet werden, besteht durchaus die Gefahr, dass einzelne Hersteller mit politischem Druck gezwungen werden, ihre Produkte aus bestimmten Ländern zurückzuziehen oder deren Lauffähigkeit dort zu beschränken. Es ist auch möglich, dass manche Produkte nicht mehr verwendet werden können, weil sich ihr Hersteller aus dem Markt zurückgezogen hat, die Pflege des Produkts aufgegeben hat oder dessen Funktionalität oder Lizenzierung so geändert hat, dass es für seinen bisherigen Zweck nicht mehr verwendet werden kann oder nicht mehr legaler Weise eingesetzt werden darf.
Ein derartiger Ausfall von IT-Komponenten eines Herstellers kann volkswirtschaftlich katastrophale Folgen haben, wenn keine Möglichkeit besteht, kurzfristig und mit tragbarem Aufwand auf vergleichbare Komponenten anderer Hersteller umzusteigen. Insbesondere für Systeme der öffentlichen Hand und für Systeme im Bereich der Kritischen Infrastrukturen (KRITIS) stellt dieses Risiko eine inakzeptable Gefahr und damit ein Sicherheitsrisiko durch Verletzung der Verfügbarkeit dar. Aus diesem Grund gibt es auf der Ebene der Bundesregierung und der EU Anstrengungen, diese Abhängigkeiten durch eine Strategie der digitalen Souveränität zu reduzieren, doch zeigt die aktuelle Entwicklung gerade auf dem Gebiet zentraler Software-Komponenten eher die Tendenz, die Abhängigkeit von einzelnen Herstellern noch zu verstärken.
Die GI fordert deshalb:
- Ein besser koordiniertes Vorgehen, um solche Abhängigkeiten zu verringern. So ist es nicht akzeptabel, wenn bei öffentlichen Ausschreibungen schon die Nutzung der Software-Komponenten eines (Quasi-)Monopolisten vorgegeben wird.
- Die Verwendung proprietärer Datenformate, die gültige Standards wie ISO/IEC 26300 unterlaufen, ist abzulehnen.
- Bei neu zu erstellenden IT-Systemen ist sicherzustellen, dass in kritischen Bereichen eine langfristige, uneingeschränkte und auch nicht durch einen Hersteller willkürlich zu beendende Nutzung gewährleistet ist, was beispielsweise durch Verwendung von Open Source realisierbar ist.
- Alternativ ist sicherzustellen, dass bei Ausfall eines Herstellers eine schnelle und mit nur geringem Aufwand durchzuführende Migration erfolgen kann.
- Für schon existierende Systeme im öffentlichen Bereich und in KRITIS-Umgebungen, die derzeit von einzelnen Herstellern abhängig sind, ist kurz- bis mittelfristig eine derartige Rückfallstrategie zu realisieren.
Die GI begrüßt ausdrücklich das Konzept für eine Kollaborative Freie-Software-Plattform für Verwaltungen „Ein Ort für öffentlichen Code“ der Free Software Foundation Europe (FSFE), des Deutschen Landkreistages, der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt), in der Software für die Öffentliche Hand abgelegt und zur Nutzung durch weitere Teilnehmer verfügbar gemacht wird. Durch Nutzung der dort verfügbaren Software lassen sich die beschriebenen Risiken sowie der unnötige Mehraufwand für die vielfache Erstellung funktional weitgehend gleicher Funktionalitäten deutlich reduzieren.
Weitere Informationen finden Sie unter https://pak-datenschutz.gi.de/
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
