
Die Gesellschaft für Informatik e.V. (GI) begrüßt die Schaffung einer kollaborativen Freie-Software-Plattform für Verwaltungen und fordert eine bessere Koordination der öffentlichen IT-Infrastrukturen.
Eine im Jahr 2019 im Auftrag des Bundesinnenministeriums durchgeführte Studie kommt zu dem Schluss, dass bei der von der öffentlichen Hand betriebenen IT eine große und zum Teil sogar vollständige Abhängigkeit von einigen wenigen Herstellern besteht. In manchen Bereichen der Wirtschaft gilt dies auch für sensible Umgebungen, die zur kritischen Infrastruktur gerechnet werden.
Daraus resultieren erhebliche Risiken, die bis zum vollständigen Ausfall der betreffenden IT führen können. In einer Zeit, in der politische Erpressung, Vertragsbruch und gezielte Attacken auf Firmen mit dem Ziel, diese vom Markt auszuschließen, von verschiedenen politischen Akteuren als normal betrachtet werden, besteht durchaus die Gefahr, dass einzelne Hersteller mit politischem Druck gezwungen werden, ihre Produkte aus bestimmten Ländern zurückzuziehen oder deren Lauffähigkeit dort zu beschränken. Es ist auch möglich, dass manche Produkte nicht mehr verwendet werden können, weil sich ihr Hersteller aus dem Markt zurückgezogen hat, die Pflege des Produkts aufgegeben hat oder dessen Funktionalität oder Lizenzierung so geändert hat, dass es für seinen bisherigen Zweck nicht mehr verwendet werden kann oder nicht mehr legaler Weise eingesetzt werden darf.
Ein derartiger Ausfall von IT-Komponenten eines Herstellers kann volkswirtschaftlich katastrophale Folgen haben, wenn keine Möglichkeit besteht, kurzfristig und mit tragbarem Aufwand auf vergleichbare Komponenten anderer Hersteller umzusteigen. Insbesondere für Systeme der öffentlichen Hand und für Systeme im Bereich der Kritischen Infrastrukturen (KRITIS) stellt dieses Risiko eine inakzeptable Gefahr und damit ein Sicherheitsrisiko durch Verletzung der Verfügbarkeit dar. Aus diesem Grund gibt es auf der Ebene der Bundesregierung und der EU Anstrengungen, diese Abhängigkeiten durch eine Strategie der digitalen Souveränität zu reduzieren, doch zeigt die aktuelle Entwicklung gerade auf dem Gebiet zentraler Software-Komponenten eher die Tendenz, die Abhängigkeit von einzelnen Herstellern noch zu verstärken.
Die GI fordert deshalb:
- Ein besser koordiniertes Vorgehen, um solche Abhängigkeiten zu verringern. So ist es nicht akzeptabel, wenn bei öffentlichen Ausschreibungen schon die Nutzung der Software-Komponenten eines (Quasi-)Monopolisten vorgegeben wird.
- Die Verwendung proprietärer Datenformate, die gültige Standards wie ISO/IEC 26300 unterlaufen, ist abzulehnen.
- Bei neu zu erstellenden IT-Systemen ist sicherzustellen, dass in kritischen Bereichen eine langfristige, uneingeschränkte und auch nicht durch einen Hersteller willkürlich zu beendende Nutzung gewährleistet ist, was beispielsweise durch Verwendung von Open Source realisierbar ist.
- Alternativ ist sicherzustellen, dass bei Ausfall eines Herstellers eine schnelle und mit nur geringem Aufwand durchzuführende Migration erfolgen kann.
- Für schon existierende Systeme im öffentlichen Bereich und in KRITIS-Umgebungen, die derzeit von einzelnen Herstellern abhängig sind, ist kurz- bis mittelfristig eine derartige Rückfallstrategie zu realisieren.
Die GI begrüßt ausdrücklich das Konzept für eine Kollaborative Freie-Software-Plattform für Verwaltungen „Ein Ort für öffentlichen Code“ der Free Software Foundation Europe (FSFE), des Deutschen Landkreistages, der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt), in der Software für die Öffentliche Hand abgelegt und zur Nutzung durch weitere Teilnehmer verfügbar gemacht wird. Durch Nutzung der dort verfügbaren Software lassen sich die beschriebenen Risiken sowie der unnötige Mehraufwand für die vielfache Erstellung funktional weitgehend gleicher Funktionalitäten deutlich reduzieren.
Weitere Informationen finden Sie unter https://pak-datenschutz.gi.de/
Fachartikel

Ohne Sichtbarkeit keine Sicherheit: So erhöhen Unternehmen die Wirksamkeit ihrer NDR-Tools

Microsoft kündigt neue E-Mail-Anforderungen für Massenversender an

Was ist eine automatisierte Sicherheitsvalidierung?

Google Chrome stopft Verlaufslücke: Violette Linkanzeige wird überarbeitet

Chinesische Hackergruppe nutzt Schwachstellen in Ivanti-VPNs für gezielte Angriffe auf Netzwerke
Studien

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen

Intelligente Datenverwaltung: Warum IT-Entscheidungsträger die Kontrolle über ihre Daten übernehmen sollten

Blockchain und Cybersicherheit

BSI veröffentlicht Studie zu Krankenhausinformationssystemen (KIS) und medizinischen Austauschformaten
Whitepaper

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu

Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation

Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus

PQC – Wie Sie Ihre PKI in vier Schritten bereit für das Quantenzeitalter machen

WatchGuard Internet Security Report: 94 Prozent mehr Netzwerk-Malware
Hamsterrad-Rebell

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?

Verborgene Cloud-Risiken? Bedrohungen in M365, Azure & Co. erkennen
