Ja, vielen Dank und herzlich willkommen zum e-Government-Podcast. Ich bin Thorsten Frenzel, ich bin hier der Host vom e-Government-Podcast und ich habe heute großartige Gäste bei mir. Einmal Luise Kranich, Julian Schauder, Ralf Dehner, Jutta Horstmann und most frequent guest aktuell zum gleichen Thema. Thielak, mal hin dran. Es ist schön, dass ihr alle da seid und schön, dass ihr hier seid. Aber jetzt fangen wir ganz kurz mit einer Vorstellungsrunde an.
Luise, fängst du an kurz? Wer bist du und was machst du?
Sehr gerne. Danke, Thorsten. Ja, wie du gesagt hast, mein Name ist Luise Kranich. Ich bin aktuelle Abteilungsleiterin im BSI. Seit Mai allerdings erst. Er ist da relativ neu dabei. Ich leite die Abteilung für Technologiestrategie und Informationstechnik mit einem sehr großen und breiten Themenspektrum und war vorher drei Jahre lang im BMI. Hab dort in der Abteilung Digitale Verwaltung.
Versucht eine Rahmenarchitektur und ein Set an Standards unten durchzusetzen und umzusetzen, die ja heute sehr gut auf den Deutschland sind.
Ja, Julian, jetzt bist du dran.
Dankeschön. Mein Name ist Julian Schauder, ich bin der technische Produktmanager beim Zentrum für digitale Souveränität der öffentlichen Verwaltung für OpenCode. Aber wie es im kleinen Startup ist, ich kenne alle Projekte noch ziemlich genau.
Ich komme sonst ursprünglich etwas Linux Foundation nah aus den Projekten rund um ISO 5230, 18974 und bin ansonsten mit OpenCode sehr stark in der Frage unterwegs, wie wir Sicherheit in die Software-Lieferkette hineinbekommen, wie Open Source dieses Paradigma Sicherheit durch Offenheit ein bisschen klarer auch nach außen kommunizieren kann, wie wir der Verwaltung ein sehr einfach nutzbares und auch sicheres Ökosystem bereitstellen.
Ja, mein Name ist Ralf Dehner. Ich bin hier in einer Doppelrolle. Einmal als Sprecher vom Forum für den Software-In-Cloud-Stack, was Unterabteilung von der OSBA ist. Und zweitens bin ich Geschäftsführer von der B1 Systems. Wir sind quasi auf Open Source spezialisiert mit 200 Leuten. Und egal, was die Komponenten vom Deutschlandstack sind oder sein werden, wir werden uns dann draußen mit der Implementierung, mit dem Betrieb dieser Technologien auseinandersetzen müssen, dürfen.
Jutta Horstmann, Informatikerin, Unternehmerin und seit über 20 Jahren schon in verschiedensten Open Source Communities unterwegs. Zuletzt war ich Geschäftsführerin beim Zendes. Da haben wir sehr eng zusammengearbeitet bis zu meiner Abberufung im April. Jetzt seit diesem Monat CoSIO der Heinlein-Gruppe. Die Heinlein-Gruppe ist bekannt für verschiedene Produkte, OpenTalk, OpenCloud und Mailbox.
Und mit den Bereichen Hosting, Consulting und Akademie bieten wir eben das Know-how rund um alles, was Linux, Open Source und eben auch unsere Produkte sind, an. Das heißt also, wenn wir jetzt über einen Stack sprechen, wir sind die ExpertInnen, die sich auch wirklich über alle Ebenen hinweg damit auseinandersetzen und bestens auskennen.
Ja, und Tilak, also den Podcast-Hörern muss ich dir eigentlich nicht mehr vorstellen. Du bist zum dritten Mal da, aber vielleicht mal fürs Publikum.
Na klar, mein Name ist Thielak, Thielak Mahendran. Ich bin seit zwei Jahren, zweieinhalb Jahren bei der Agora Digitalen Transformation aktiv. Wir sind ein gemeinnütziger Think Tank, der parteiübergreifend agiert. Und zuvor habe ich einige Jahre das Kompetenzzentrum Open Data in der Bundesverwaltung mit aufgebaut und geleitet und davor etliche Jahre bei IBM verbracht, zuletzt im Bereich KI und IoT, also sehr datengetrieben.
Ja, schön, dass du wieder dabei bist und wieder zum ähnlichen Thema. Wir wollten eigentlich über das Thema Deutschland-Stack mehr Chancen als Risiko sprechen. Aber Jutta, du hast eigentlich eine viel bessere Zusammenfassung des Themas kürzlich auf LinkedIn geprostet. Magst du es selber sagen?
Ich sagte, der Deutschlandsteck ist eines der letzten Mysterien der Menschheit und wir bringen hier Licht ins Dunkel und schauen mal, was sich dahinter verbirgt, hinter diesem Begriff. In den ganzen Vorgesprächen wurde aber deutlich, also es ist immer noch recht mysteriös, jeder hat so ein anderes Bild davon, so ein bisschen wie die Blinden, die um diesen Elefanten drumherum stehen. Der eine sagt, ein Elefant, das ist wie so ein großer Baumstamm.
Und der andere sagt, ein Elefant, das ist so ein langes Seil.
Und alle zusammen haben eben nur ein kleines Bild davon Und deswegen freue ich mich, dass wir hier zusammensitzen und vielleicht so ein paar Themen zusammentragen können, was wir wissen über den Deutschlandstack, über dieses geplante Projekt der neuen Bundesregierung, aber auch, was wir hoffen, was wir uns davon wünschen und wo wir denken, mit unserer Sachkenntnis, mit unserer Expertise könnten wir da sinnvoll beitragen, dass das eben auch ein erfolgreiches Projekt wird.
Also ist der Deutschlandstack dann eher ein politisches Buzzword?
Wenn das entsprechend nicht mit Inhalten gefüllt wird, bleibt das natürlich ein politisches Buzzword. Wir sehen aber auf der anderen Seite, dass es solche Begrifflichkeiten benötigt, um insbesondere Dinge greifbar zu machen, auch für eine Gesellschaft und auch für die Unternehmensseite. Da hilft es, solche Begrifflichkeiten zu nutzen. Was wir jetzt aber sehen ist, Thorsten, wann haben wir das letzte Mal gesprochen? Im Juli, meine ich mich zu erinnern.
Drei Monate, zweieinhalb Monate später wissen wir es immer noch nicht. Und das stimmt einen doch nachdenklich.
Und Publikumsbeteiligung gibt es später auch. Also wir machen nachher noch 15 Minuten Fragerunde. Ich sehe schon, es ist ein neuer Reis, darauf zu fragen.
Also ich möchte das mal aufgreifen, was Thila gerade gesagt hat. Es ist auch eine Chance, es ist eine Hülle, es ist eine Verpackung und es kann deswegen für uns ja einen großen Rahmen bieten, in den wir verschiedene Dinge einordnen. Also ich habe mir vorgenommen, heute ganz konsequent positiv und optimistisch zu sein. Sagt Bescheid, wenn es nervt. Und ich finde diese Stack-Metapher deswegen schön, weil wir sagen, wir haben auf verschiedenen Ebenen einfach Aufgaben zu lösen.
Und dann könnten wir uns einmal groß anschauen, was wollen wir denn eigentlich? Und da müssen wir einfach so ein paar Grundsatzentscheidungen treffen. Mit dir meine ich wahrscheinlich vor allem das zuständige Ministerium. Schön wäre es ja, wenn es Fachleute, aber vielleicht auch die Leute, die dann von den Entscheidungen betroffen sind, bei dieser Entscheidung beteiligt.
Und die sind wirklich einfach Grundsatzentscheidungen wie, wollen wir eine zentrale App haben oder wollen wir es dezentral organisieren? Wollen wir auf bestehende Marktführer setzen oder wollen wir Open Source pushen? Da gibt es ein ganzes Set an Entscheidungen, das getroffen werden muss. Und dann können wir überlegen, okay, und was brauchen wir? Was sind unsere konkreten Anforderungen? Wie setzen wir die um? Also funktionale Anforderungen, aber eben auch nicht
funktionale. Und da spreche ich jetzt wieder als BSI. Wir wollten da auch gerne mitreden, was zum Beispiel Sicherheitsanforderungen angeht.
Das Open Source-Ther möchte ich gleich nochmal aufgreifen. Wir sind ja hier auf dem Several Cloud Stack Summit. dieses Jahr. Es sind sehr, sehr viele Vertreterinnen und Vertreter von Open-Source-Wirtschaft da und von Open-Source-Entwicklern. Ist Open-Source ein Thema, was unbedingt beim Deutschlandstack mitgedacht werden muss und vor allen Dingen wie?
Ich verstehe die Frage nicht. Ja, also es wurde ja seit einleitend, dass schon ein paar Mal gesagt sind, bei den Vorrednern, eine Welt ohne Open Source kann und will sich ja keiner mehr vorstellen.
Es ist nicht das aller Heilmittel. Was ich auch interessanter finde, bei Closed Source, die Frage ist, ist im Deutschlandstack überhaupt geplant, Produkte oder Hersteller zu setzen oder nur Schnittstellen und irgendwelche Standards zu definieren und dass dann unterschiedlich die Hersteller, egal ob Open Source oder Proprietär, Anwendungen darauf integrieren oder implementieren können. Und ihr gebt es einfach nur Schnittstellen oder Standards vor.
Eine der zentralen Fragen ist, auch wenn, um jetzt hier die Diskussion so ein bisschen zu strukturieren, sprechen wir dann eben ganz konkret über die Produkte, die dann am Ende so einen Stack ausmachen oder sprechen wir über eine Spezifikation, so wie wir es beim Cyber-Cloud-Stack eben auch sehen. Bei dem, was jetzt eine ganze Weile eben beschrieben wurde als das Herz dieser Plattform, diese H2-KI-Wasserstoff-Plattform, da soll es ja eine Ausschreibung
geben. Das heißt, da geht es um ein konkretes Produkt. Betrifft das jetzt alle Elemente des Stacks? Ich weiß es nicht. Vielleicht kann Luise ein bisschen Licht ins Dunkel bringen, aber das wären eben die entscheidenden Punkte. Sprechen wir jetzt über die Schnittstellen, sprechen wir über die Standards, die zu gewährleisten sind. Und dazu gibt es ja eine der fünf Missionen. Dieses Deutschland-Stacks beschäftigt sich mit den Standards. Es ist die fünfte Mission. Ich hoffe, es ist nicht die letzte.
Das wäre unschlau, wenn man das Thema Standards und Architektur ganz ans Ende stellt. Aber auf jeden Fall möchte man sich damit auseinandersetzen. Und deswegen denke ich, an diesen Stellen können wir mindestens auch noch mit Inhalten füllen.
Also das Thema mit den Standards und der Architektur, den Fehler haben wir schon mal gemacht. Ich sage nur Online-Zugangsgesetz. Da haben wir erst gesagt, was wir haben wollen. Und dann haben wir uns Gedanken darüber gemacht, dass es ja nicht funktioniert, wenn wir keine Standards haben. Ich hoffe, dass das neue Ministerium aus den Fehlern der alten Ministerien lernt.
Für wen ist denn der Deutschlandsteck? Ist der nur für den Bund? Ist der für Länder, Landesebene, für Kommunen, für die Wirtschaft auch? Wer ist denn das Zielpublikum von dem Deutschlandsteck?
Dabei haben wir eigentlich ja die Antwort, weil wenn wir in den Koalitionsvertrag reinschauen, gibt es eine relativ präzise Beschreibung, wer die Zielgruppe ist. Das sind Bund, Länder und Kommunen. Das soll für alle Ebenen bereitgestellt werden. Die Frage, die sich uns stellt ist, wie soll das auch zum einen rechtlich möglich sein, dieser Zugang, dass es dann auch genutzt werden kann.
Zum anderen wissen wir, dass der Bund ja am föderalen Tisch auch nur einen Platz hat, genauso wie die anderen 16 Länder. Deswegen stellt sich uns die Frage, geht es hier um ein Deutschlandsteck oder eher um ein Bundessteck, der dann rein für die Bundesverwaltung aktiv werden soll. Aber wenn das der Fall ist, dann hätte man das nicht in den Koalitionsvertrag reinschreiben sollen, weil die Erwartungshaltung seitens Länder, Kommunen als auch Dritte aus der Privatwirtschaft sind andere.
Ich bin mir gar nicht sicher, ob man diese Frage so binär beantworten kann oder ob wir da nicht auf einem Kontinuum sind. Und gerade wenn wir uns die Stack-Metapher wieder nehmen und sagen, ach, wir gucken uns das mal an,
wie bei einer Cloud. Wir haben irgendwie Infrastructure as a Service, wir haben Plattform as a Service, wir haben Software as a Service, dass man vielleicht sagt, ja, es wäre schon ganz klug, wenn beispielsweise Infrastruktur und Plattform gemeinsam wären und dann aber alle Akteure sich selber darauf, nach gewissen Standards und Vorgaben, ihre Applikationen einspielen können. Weil natürlich eine kleine Kommune andere Anforderungen hat als eine große Kommune.
Weil die Verfahren andere sind, die durch ein Land zu bearbeiten sind oder durch eine Bundesbehörde. Und deswegen könnte man das zum Beispiel sehen. Aber das ist genau das, was ich meine. Mit dieser Entscheidung muss einmal getroffen werden. Auf welcher Ebene wollen wir es denn eigentlich wie gestalten?
Ich glaube, da müssen noch viel, viel mehr Entscheidungen getroffen werden. Und vor allen Dingen auch, wie kann denn eine Kommune einen Stack benutzen, der von Bund zur Verfügung gestellt wird? Der Bund und Kommunen, die haben überhaupt gar keine Beziehung, die dürfen gar nicht zusammenarbeiten.
Wird er zur Verfügung gestellt, der Stack, oder wird der nur vorgegeben und jedes Land oder Gemeinde kann den Stack selber implementieren?
Dann haben wir wieder eine Dezentralisierung.
Das sind ja genau die großen Fragen und wir als Agora haben uns auch die Frage gestellt, müssen wir als Deutschland auch dieses Rad neu erfinden und das müssen wir, denken wir nicht. Auch die Begrifflichkeit Deutschlands, Stack kommt ja zum einen aus der Wirtschaft, also aus der Technologiebranche, zum anderen aber auch aus dem öffentlichen Sektor.
Aber ganz spannend war es zu sehen, dass die G20-Nationen sich vor zwei Jahren zusammengesetzt haben, um sich Gedanken zu machen, wie aus dem Thema India-Stack, also hier haben wir Namenswetter zum Deutschland-Stack, wie daraus eine generelle Empfehlung für weitere öffentliche Verwaltung aussehen können. Und beim India-Stack war es tatsächlich so, dass die Themen digitale Identitäten, digitales Bezahlen und Datenaustauschdienste Bestandteile dieses Stacks ausmachen.
Das ist auch die Empfehlung der G20-Nation, die damals das gemeinsam als Konsens beschlossen haben. Die OECD hat sich auch nochmal diverse andere Industrieländer angeschaut und die haben diese drei Elemente, ich wiederhole es nochmal, digitale Identitäten bezahlen, Austauschdienste mit reingebracht, ergänzt um ein digitales Postfach und digitale Benachrichtigungen.
Wenn wir diesen Mindeststandard uns ansehen, dann haben wir an sich digitale Identitäten, was auch europäisch anschlussfähig ist aufgrund der EIDAS-Verordnung. Wir haben bei digitales Bezahlen spannenderweise, da haben wir eine Bestandsanalyse durchgeführt, erst Anfang des Jahres acht unterschiedliche Lösungen, die derzeit eingesetzt werden. Wir haben letztens in unserem Podcast über IPBL gesprochen. Wir haben Datenaustauschdienste auch aus europäischer Ebene heraus initiiert.
Da spreche ich konkret über die Registermodernisierung und das Notsystem, worauf es aufbaut. Wir haben auch ein digitales Postfach in Form von Bund-ID bzw. Der Deutschland-ID, wo auch sich die Länder darauf geeinigt haben. Also wenn wir das aus der internationalen Praxis heraus sehen und das auch verknüpfen mit dem wissenschaftlichen Stand derzeit, da gibt es eine spannende Publikation aus den letzten fünf Jahren, sind wir eigentlich schon bei 90 Prozent des Deutschlandsteaks angekommen.
Da sind wir doch aber gerade verwundert, dass das nicht aufgegriffen wird, dass die unterschiedlichen Komponenten, die ich gerade genannt habe, qualitätstechnisch ertüchtigt werden, aber auch auf IT-Sicherheitsebene ertüchtigt werden und diejenigen, die vielleicht noch nicht auf Open-Source-Ebene bisher entwickelt worden sind, sich die Gedanken zu machen, wie das hin zu einem Open-Source-Modell auch kommen kann. Also worauf ich hinaus möchte, in unseren Augen ist es eigentlich relativ klar,
in welche Richtung das gehen muss. Das BMDS sollte das zusammenziehen. Mittelfristig, und dann wären wir beim Thema Zugang, muss es interföderal verankert werden. Und dafür haben wir den IT-Planungsrat errichtet, dafür haben wir die FITCO errichtet. Da gibt es sicherlich noch Verbesserungspotenzial bei beiden Ebenen, aber das ist ein anderes Thema.
Ergänzend dazu, ganz kurz noch, weil es gerade gut passt, diese vier Basisdienste, die du genannt hast, TILAC, die stehen als Basisdienste im Beschluss des IT-Planungsrats von vor einem Jahr. Das sind die Basisdienste auf der zweiten Ebene der OCG-Rahmenarchitektur. Also es passt eigentlich schon. Wir müssen es jetzt noch umsetzen.
Zu den Themen, die man eigentlich weiterhin betreiben könnte, die wir schon haben. Das ganze Thema GavStack, was ja ein Projekt ist aus dem Entwicklungsministerium aus der vergangenen Legislaturperiode, was auch weiterhin finanziert wird, was weiterhin mit Steuergeldern finanziert wird und wo eben genau diese Basiskomponenten beschrieben werden, die auch in anderen Ländern bereits genutzt werden. Warum können wir das nicht bei uns einsetzen?
Mindestens als eine erste Beschreibung dessen, was benötigt wird. Die Spezifikationen sind da, zum Teil sind auch Referenzimplementationen da. Und hier der Summing Cloud Stack ist ja auch Teil des GavStacks. Also an der Stelle fügt sich zusammen, was zusammengehört. Mich beschleicht aber der Eindruck, dass diese Themen, natürlich sind sie bekannt, aber es ist so ein bisschen so ein Not-invented-here-Phänomen, was ich jetzt wahrnehme, gerade im digitalen Ministerium.
Man möchte neu durch die Tür reinkommen und deswegen eben sowohl die Standardisierungsthemen, die wir im ITA-Planungsrad in den letzten Jahren bereits hatten und worauf man aufbauen könnte, erstmal zur Seite schiebt und genauso eben erfolgreiche Projekte wie den GavStack.
Genau, ich habe mir gerade hier aufgeschrieben, Gavstack, weil das ist genau das Thema. Deutschland ist da maßgeblich beteiligt, finanziert da sehr viel, da ist Estland mit dabei ganz stark. Das heißt, wir haben nicht nur in Deutschland schon alles erfunden und vor allen Dingen alles da, was wir für eine Verwaltungsdigitalisierung brauchen. Es wird auch überall eingesetzt, nur nicht konzentriert.
Und ich hoffe, dass dieses eben Not-Invented-Here-Syndrom, was wir in Deutschland in der Verwaltung sehr pflegen, dass das genau bei dem Thema mal vorgelassen wird.
Aber selbst wenn es nicht außen vor gelassen wird, wir haben ja in Deutschland den Sovereign Cloud Stack, der ist vor den letzten fünf Jahren mit 15 Millionen vom deutschen Staat gefördert worden. Da ist eine Initiative daraus entstanden, wo mittlerweile mehrere Hosting-Anbieter, mehr auf Land Thüringen bieten Clouds an, die was hier untereinander kompatibel und sehr souverän sind.
Also selbst damit hätte ich schon mal den untersten Layer definiert, dass ich heute von der Thüringer Landescloud zu einem anderen SCS-kompatiblen Cloud-Anbieter rüber migrieren kann, weil Schnittstellen eben standardisiert und dokumentiert sind. Also es wäre in Deutschland der erste Layer schon gegeben.
Und das würde ich auch gerne nochmal aufgreifen. Also das, was wir oder was uns als Agora-Perspektive auch in diesem Diskurs bisher fehlt, ist die Transparenz seitens des Digitalministeriums. Wir verstehen, es stehen gerade sehr viele Anforderungen an das BMDS und wir kennen auch viele Menschen, die dort arbeiten. Also es ist gerade viel los.
Nichtsdestotrotz wäre es sinnvoll, dann auch die entsprechenden Player mit einzubinden bei der Erstellung, bei der Definition eines solchen Stacks, weil, wie du das gerade schon angesprochen hast, da gibt es echt tolle Vorarbeiten auf der Seite, als auch auf staatlicher Seite. Du hast GovStack angesprochen, wir beraten quasi andere Nationen, wie so etwas mit aufgebaut werden können, beraten uns aber nicht selbst. Das macht Sinn.
Der hat der Prophet im eigenen Haus, das ist vollkommen klar. Das ist eine rhetorische Frage. Genau. Wenn ihr euch jetzt träumen dürftet, 2030, wie sieht so ein Stack aus und wie wird er genutzt?
Ich glaube, eine interoperable Menge an Basisdiensten, die wir zur Verfügung haben, die idealerweise SCS-kompatibel gehostet sind, dass wir in der Lage sind, typische Fachverfahren, Anwendungen auf kommunaler Ebene zu hosten, zu betreiben, wie wir es brauchen, ohne dass alles eine Sonderlocke ist.
Sodass wir uns ein bisschen standardisieren können auf das, was standardisiert werden kann und gleichzeitig einen Freiraum bieten können, wo wir meinetwegen Fachverfahren brauchen, die lokale Ausprägung benötigen.
Mir wäre zusätzlich noch der Aspekt wichtig, die Anknüpfung an die europäische Ebene. Also wir haben ja das Konzept des Eurostacks, was bislang auch im Konzeptstadium verblieben ist, aber noch im Koalitionsvertrag, du hast ihn eben zitiert, da stand ja noch dran, wir wollen einen Deutschlandstack schaffen, der anknüpfungsfähig ist an den Eurostack.
Das heißt, das muss man immer mitdenken und nicht eben ein eigenes Süppchen hier brauen, sondern gucken, dass es miteinander eben auch interoperabel ist. Und das ist natürlich möglich, wenn wir auf offene Standards und auf Open Source setzen. Genauso wie aber auch in die andere Ebene. Also wenn wir jetzt in die Bundesländer gucken, Thüringen zum Beispiel entwickelt jetzt einen Thüringen-Stack. Das sollte nicht Doppelarbeit bleiben und werden, sondern eben miteinander auch verbindbar.
Und das schaffen wir auf jeden Fall nur durch offene Standards.
Wobei ich momentan nicht sehe, dass wir auf nicht offene Standards setzen. Das heißt, egal wie viele von diesen eigentlich sehr ähnlichen Stacks wir aufbauen, sie ähneln sich so sehr, dass wir sie erstaunlich schnell konsolidieren können. In dem Sinne würde ich fast schon sagen, lieber mache ich mir einen kleinen Stack zusammen, lokal, und der geht in den nächsten auf, denn die Wahrscheinlichkeit, dass jemand andere Authentifizierungsverfahren nutzt, das ist, glaube ich, heutzutage sehr gering.
Lieber habe ich es einmal standardisiert und bin auf die offenen Standards gesprungen, dann kann ich eben auch wechseln.
Aber welche der letzten drei Cloud-Plattformen, die der Bund ausgeschrieben hat oder Land, waren kompatibel untereinander? Ich sage jetzt nochmal ketzerisch, also wir haben die Thüringer Landescloud, die was produktiv ist. Dann wurde dann ITZ-Bund hat dann eine Cloud ausgeschrieben, was wieder proprietär, was eine proprietäre Lösung war, weil dieses Open-Source-First rausgenommen wurde.
Also ich wüsste jetzt keine drei Cloud-Plattformen, die was vom Bund ausgeschrieben wurden, die was untereinander kompatibel sind. Das ist ein guter Punkt. Und da geht es ja schon wieder los. Also Thüringen ist fertig, sagt, wir sind open source. Wir stehen da, ihr könnt es bei uns abschauen. Und dann kommt der Nächste und macht es wieder anders, weil er sagt, ihr findet das Rad neu, weil ich zu stolz bin oder weil ich meine, ich bin schlau oder was auch immer.
Und da werden immer wieder Steuergelder ohne Ende.
Das ist wichtig. Aber ich glaube, in der Planung ähneln sie sich sehr häufig. Und ich glaube, das ist der gute Punkt. Das Problem ist, gekauft wird häufig anders.
Darum initial, vollkommen bei dir, die technische Umsetzung ist unterschiedlich. Der Wunsch, was jeder hat, ist immer dasselbe. Also die Anforderungen sind meistens gleich, aber die Umsetzung wird dann oft so gemacht, dass sie untereinander nicht mehr kompatibel ist und dadurch haben wir immense Mehrkosten und absolut keine Kompatibilität.
Ich glaube, das ist ja auch der Gedanke, dem der Deutschlandsteck entsprungen ist. Genau die sind Kompatibilität untereinander, dass wir alle eigentlich das gleiche planen wollen, nochmal machen müssen. Und ich glaube, der Deutschland-Stack hat sich auch keinen Gefallen getan, sich auch als Stack zu benennen, weil damit ist die Bandbreite einfach massiv. Ob wir von unten das Hosting und Infrastruktur anschauen oder oben in die Fachverfahren einsteigen, das ist bei ihm ja gar nicht geklärt.
Es ist ja vom Namen her alles mit dabei, wo man jetzt den Fokus setzt, dass er eigentlich dafür prädestiniert ist, sich mehr auf die Fachverfahren zu fokussieren und viel weniger auf Hosting. Weil das ist ein SCS-Thema. Aber da muss er sich, glaube ich, noch finden.
Darum ja der Wunsch von unserer Seite, dass einfach hier nicht Produkte oder Hersteller gesetzt werden, sondern Standards und Schnittstellen und dann ist die Kompatibilität automatisch gegeben.
Jetzt komme ich wieder mit meinem, das ist doch eine Riesenchance und ehrlich gesagt, ich glaube manchmal, wir müssen einem Donald Trump fast dankbar sein, weil das dazu geführt hat, dass das Thema bei uns auf der Agenda ist. Und dass wir zum Beispiel sagen, oh, digitale Souveränität, das ist ein Sicherheitsthema.
Wir gucken uns jetzt nicht nur an Schutzziele der Informationssicherheit, Vertraulichkeit, Verfügbarkeit, Integrität kurzfristig, sondern wir gucken es uns auch auf der Zeitachse an und sagen, wir brauchen auch eine Verfügbarkeit dauerhaft. Und das eben auch in Szenarien, an die wir früher nicht denken wollten, Wir werden jetzt gezwungen, darüber nachzudenken und uns Pläne dafür zu machen. Und da würde ich sagen, cool, jemand musste uns offensichtlich wachrütteln und
das Thema ist auf der Agenda. Mich persönlich freut das erst mal.
Würde er gerne anknüpfen, weil mich hat das Narrativ des Stacks auch sehr gefreut. Also als Informatikerin endlich zu sehen, dass auch von der politischen Ebene mal über einen Stack nachgedacht wird und nicht nur über einzelne Insellösungen irgendwo als Anwendungen und vor allem auch wirklich geguckt, was gibt es denn überhaupt für Ebenen, über die wir nachdenken müssen und eben nicht nur, wir gucken auf das, was wir da auf unserem Schreibtisch stehen haben.
Das ist immer ein bisschen sehr kurz gefasst, eben nicht auf die Infrastruktur zu gucken, nicht auf die Betriebssysteme, Datenbankmanagementsysteme und so weiter zu gucken. Ein Aspekt, der mir jetzt in unserer Diskussion bislang fehlt und da möchte ich dir, Julian, auch ein bisschen den Ball zuspielen. Dieser ganze Stack muss ja auch irgendwo entwickelt werden, also eine DevSecOps-Umgebung für den Deutschland-Stack.
Und dafür mal sich OpenCode anzuschauen und das aufzubohren, damit wir gewährleisten können, dass die Software, die im Deutschlandstack am Ende genutzt wird, eben auch sicher und souverän entwickelt wird. Dass das BSI die Möglichkeit hat, da reinzugucken, auch in die Container reinzugucken und darüber ein Lagebild eben auch zu erstellen. Dafür haben wir ja schon die Grundlage in OpenCode. Und das muss meiner Meinung nach immer mitgedacht werden, wenn wir über den Deutschlandstack sprechen.
Absolut, absolut. Ich werde dir auch ein Code, ein bisschen für die Breite auch gesagt. Wir sind ja eine Entwicklungsplattform von der Verwaltung für die Verwaltung und damit haben wir von dem GitLab bis zur Registry für die Container alles mit dabei. Was wir jetzt sukzessive aufbauen und dann bauen wir Strategiepapier für draußen, wo wir sagen, naja, wir brauchen einen zentralen Distributionsort für die Verwaltung.
Ein Ort, wo Container idealerweise nach Compliance as Code eingehen, geprüft werden und wirklich zur Benutzung wiederverwendet werden können. Dass wir sozusagen Container, ich meine, jeder setzt hier Container irgendwie ein, nicht? Und Container werden gehärtet, die müssen aktualisiert werden, die müssen gewartet werden, alles gehört dazu und jeder macht das in seinem kleinen Häuschen für sich.
Und mit dem Zendes auf OpenCode sorgen wir jetzt dafür, dass wir sukzessive Ökosysteme von der Verwaltung für die Verwaltung aufbauen, um diesen Hausbedarf einfach auszutauschen. Auf der SmartPanty Convention wird es da auch eine Veröffentlichung zu geben, weil wir jetzt das Ganze auch versuchen zu bootstrapen. Aber ich meine, die Infrastruktur haben wir dafür da und auch genau das ist der Auftrag.
Und der Deutschlandstack, der wäre prädestiniert dafür, natürlich einer der ersten Nutznießer zu sein.
Und da möchte ich direkt anknüpfen. Also zum einen möchte ich mich dem anschließen. Es ist super schön zu sehen, dass wir auch auf politischer Ebene derzeit so viel über digitale Infrastruktur reden. Und es geht hier nicht nur um Breitbandausbau und Co., was die Themen oder das waren eher die bestimmenden Themen in den letzten fünf bis zehn Jahren. Spannend hier ist auch in dieser Diskussion, wir sind schon so tief drin und ich finde es spannend, aber um noch einmal kurz heraus zu zoomen.
Wenn wir das auf Bundesebene machen, dann ist unser Verständnis auch, dass der Bund die Zielgruppe ist. Wie kriegen wir es hin, dass es in die Breite kommt? Weil in unserem Verständnis hakt es daran, dass wir nicht in die Breite kommen, dass wir auf einer Ebene etwas entwickeln oder auf der anderen Ebene etwas entwickeln, weswegen wir so positiv überrascht waren im vorletzten Jahr. Und du hast dazu auch schon diverse Folgen aufgenommen zur föderalen Digitalstrategie. Wo?
Du hast es gerade gefördert, gefordert, gefördert, sage ich schon, gefordert. Warum nicht einfach eine Schnittstelle bereicht? Also sehr überspitzt gesagt, auf einer hohen Ebene, im Rahmen der föderalen Digitalstrategie soll eine, und jetzt kommt wieder die Begrifflichkeit, Deutschland-API, aber das hat sich durchgesetzt, das finde ich super schön. Auch mit dem Deutschland-Ticket hat sich das, das hatte ich auch schon mal angesprochen.
Also da verstehen die Leute, alle Ebenen sind mit gemeint. Das ist nicht nur eine bestimmte Ebene. Eine Deutschland-Architektur wird jetzt auch derzeit aufgestellt. Und du hast es gerade schon gesagt, es basiert auch zum einen auf der OCK Rahmenarchitektur, auf der nationalen Richtlinie, als auch auf der föderalen Architekturrichtlinie. Das brauchst du, damit die digitalen Bausteine miteinander greifen können.
Weswegen wir davon überzeugt sind, dass dieser Deutschland-Stack oder wenn wir den anders nennen wollen und auf Bundesebene behalten, dann brauchen wir aber nichtsdestotrotz auf interföderaler Ebene einen Kern, einen technischen Kern mit digitalen Bausteinen, sodass dann auch auf Bundesebene Lösungen entstehen können. Weil diese Ebene, die wir hier sehen, ist die digitale Infrastrukturebene auf Softwareebene und nicht eine Lösungsebene, wo es um konkrete KI-Plattformen geht.
Das ist auch spannend, brauchen wir sicherlich auch, aber die sollten auf einer ähnlichen technischen Basis aufbauen. Und da gibt es Entwicklungen und es wäre sehr schade, wenn wir jetzt hier noch eine neue Parallelentwicklung aufmachen. Ich verstehe auf der anderen Seite, warum so viele Augen derzeit auf den Deutschlandstack gerichtet sind und auch auf das BMDS. Deswegen ist ja auch unser Vorschlag, dass das BMDS hier als Taktgeber vorangeht. Ja, schauen wir mal.
Zum Thema Standards möchte ich einfach nochmal eingreifen. Das ist wunderbar, wenn wir Standards vorgeben und sagen, wir müssen mit Standards arbeiten. Aber die Geschichte lehrt uns, dass sich der Gesetzgeber, gerade auf Bundesebene, sehr, sehr schwer tut, Standards vorzugeben. Also mir ist ein einziges Gesetz bekannt, das ist das Bundesmelde-Gesetz, was einen Datenübertragungsstandard, das ist X-Meld, ich hoffe, niemand hat sich X-Meld schon mal angeschaut.
Auf jeden Fall ist es das einzige Gesetz, was einen solchen Datenübertragungsstandard überhaupt festgeschrieben hat. Alle anderen Gesetze, die das auch könnten, haben es einfach nicht getan, weil der Gesetzgeber sich schwer tut, gegen diese ganzen Softwarehersteller einfach zu sagen, schmeißt mal einen proprietären Kram weg, sondern macht mal hier einen sauberen Standard und zwar den, den wir vorgeben.
Da würde ich mal dafür plädieren. Also ich finde, technische Standards gehören nicht in ein Gesetz, weil ein Gesetz eine viel längere Lebensdauer hat als ein typischer technischer Standard. Deswegen gibt es ja dieses schöne Prinzip der Verweise. Wir nehmen ein Gesetz oder auch eine Rechtsverordnung und die sagt, und übrigens entwickeln wir nach dem Stand der Technik. Der Stand der Technik wird angenommen, wenn beispielsweise dieser Standard eingehalten
wird. Und wir haben das zum Beispiel jetzt ja gemacht, wir hatten ja nach § 6 OZG eine Verpflichtung, Standards zu entwickeln und abzustimmen. Und die wurden letzten Sommer abgestimmt, da war ich nicht mehr im BMI, aber ich habe mich trotzdem sehr gefreut, als ich diese Nachricht bekommen habe, dass wir auf einer ersten Ebene zum Beispiel mal, diese föderale Architekturrichtlinie und der Servicestandard für die digitale Verwaltung, die werden per Rechtsverordnung verbindlich.
Und nicht jede einzelne Regelung, die da drin steht, sondern als Gesamtpapier. Das heißt, die können weiterentwickelt werden, vor allem die föderale Architekturrichtlinie, muss sie auch noch ehrlich gesagt, da fehlt noch ein bisschen Futter. Und trotzdem gilt sie, weil sie ihre eigenen Abstimmungsmechanismen hat, wie die dann trotzdem wieder aktualisiert werden kann.
Zum Service-Standard hatte ich gerade kurz wieder eine Sendung aufgenommen. Da muss ich tatsächlich dazu sagen, zum Service-Standard gibt es eine Dienst-Back. Und ich finde, das ist genau der richtige Weg, wie ich vorangehen kann. Ich mache eine Dienstback, da ist alles sauber beschrieben drin. Die ist offiziell, die kann jeder Dienstleister sich durchlesen.
Jeder, der eine Ausschreibung macht, kann einfach auf diese Dienstback verweisen und dann brauchen wir keine technischen Standards irgendwo in den Gesetzen. Trotzdem finde ich, dass wir noch mehr solche Dienstbacks brauchen, die tatsächlich auch in Gesetzen aufgehen.
Aber haben wir es in der Einkommensteuer, da ist doch als du rausst, dann Standards definiert worden und mittlerweile kann jeder Startup irgendwelche Tools anbieten, was jemand die private Einkommensteuer macht und der Staat akzeptiert die. Also die halten sich an die Schnittstellen und an die Standards, die definiert sind. Also da hat es ja auch geklappt.
Ja, das ist aber nicht im Gesetz.
Gut, aber du hast ja gesagt, Standards funktionieren nicht. Also ich sage einmal, wenn das vernünftig und in Absprache mit Leuten, die was technische Ahnung haben, vorgegeben wird, ob das dann im Gesetz steht jetzt oder nicht. Aber wie gesagt, diese Einkommenssteuererklärung, da gibt es ja auch mittlerweile Startups, die auch schon keine Startups mehr sind vom Umsatz her, weil es der Staat Schnittstellen vorgegeben hat, Standards, und da sie einfach jeder anbinden konnte, was sie da dran hält.
Es ist ein hervorragendes Beispiel dafür. Da wurde eine Infrastruktur geschaffen mit offenen Schnittstellen, offenen Standards und wurde angenommen und es ist Wirtschaftsförderung. Startups können ihr Geschäftsmodell auf diesen Standards und diesen Schnittstellen aufbauen.
Ich wollte nochmal, eigentlich das, was du eben so noch gesagt hattest, das ganze Thema zu verzahnen mit dem Thema der Wirtschaftsförderung, finde ich total zentral.
Also eben wirklich zu sehen, wenn wir das Thema öffnen und von politischer Seite in den Diskurs gehen, auch mit dem deutschen Mittelstand, mit der OSBA, mit Leuten wie jetzt hier B1 und uns in der Heimlergruppe, dass wir eben die Möglichkeit haben, darüber auch wirklich als Impulsgeber mitzusprechen, weil es ist einfach ganz schlicht.
Wenn wir sagen, wir wollen hier offene Standards und im besten Falle auch, wir machen einen klaren Open-Source-Mindestanteil in der Beschaffung, dann wissen wir auch, wo das Geld hingeht und eben nicht zu den amerikanischen Hyperscalern.
Also deswegen den Aspekt, selbst wenn jetzt der Deutschlandstack erstmal einfach nur Spezifikationen schafft, das Ganze dann aber am Ende irgendwann sich ja doch in Ausschreibungen ummünzt, dann ist das verbleibende Puzzlesteinchen das, was ja auch im Koalitionsvertrag drin stand, jetzt leider nicht ein konkreter Open-Source-Mindestanteil, aber eben schon, wir setzen uns ambitionierte Ziele an.
Und da warten wir noch drauf und da können wir, glaube ich, auch unsere Regierung darauf festnageln, dass wir möglichst schnell diese ambitionierten Ziele brauchen, weil das ist dann der Taktgeber für die Beschaffung und die Umsetzung dieses Deutschlandstecks.
Und da sind wir dann bei der Frage, wie können wir das sicherstellen? Also wie kann eine Steuerung dann auch aussehen seitens des Digitalministeriums, dass so ein Open-Source-Anteil dann auch berücksichtigt wird oder auch weitere Kriterien, die auf eine Souveränitätsebene einzahlen? Und da sind wir bei dem Thema, worüber wir uns als Agora auch schon in den letzten Monaten viele Gedanken gemacht haben, welche Instrumente liegen dem Digitalministerium vor.
Da haben wir zum einen das Thema Digitalagentur, dass darüber eine gewisse Steuerung entstehen kann in den Digitalprojekten, die durchgeführt werden. Da haben wir auch noch keine klare Antwort, wie es weitergehen wird. Das andere, wo wir viel reinprojizieren oder wofür wir viel Hoffnung haben, ist der sogenannte IT-Zustimmungsvorbehalt. Das ist auch im Koalitionsvertrag bzw.
Im Organisationserlass des Bundeskanzlers mit drin, sodass es bedeutet im Kern, dass das BMDS ein Vetorecht hat bei Ausgaben ab einem bestimmten finanziellen Schwellenwert oder qualitativen Kriterien. Nur gibt es diesen IT-Zustimmungsvorbehalt noch nicht.
Der ist noch nicht ausdefiniert und uns ist es auch sehr gelegen, dass das, was im Koalitionsvertrag drinsteht, dann auch konkretisiert wird in dieses Instrument, weil dann gäbe es zumindest auf theoretischer Ebene die Möglichkeit, das besser zu steuern, als dass die Häuser mal auf Open Source setzen und mal nicht.
Das sehe ich nur tatsächlich das Problem, das organisatorische Problem. Wenn das BMDS jeder Ausschreibung da zustimmen muss, dann brauchen die eine ganze Abteilung, die den ganzen Tag nichts anderes machen, außer Ausschreibungen zu studieren, ob das nicht vielleicht irgendwie zusammenpasst.
Bin ich ganz bei dir und das ist auch etwas, was wir thematisiert haben. Es darf halt kein Flaschenhals werden. Die Intention ist eine gute, die verstehen wir auch. Es sollte nicht zu kleinteilig sein und es sollten sinnvolle und zielführende Kriterien sein. Und wir gehen davon aus, dass ein gewisser Teil davon auch teilautomatisiert werden kann, weil ansonsten brauchst du zu viele Menschen und wir kommen dann erst recht nicht voran der Digitalisierung.
Und ich glaube aber, wenn dieser Deutschland-Stack, egal wie er 2030 ausschaut, wenn der dann, sage ich mal, attraktiv vor der Technologie und vom Preislichen her ist, dass die Kommunen und die Länder dann von sich aus schon Interesse haben, die Ausschreibungen so zu gestalten, beziehungsweise ein komplett Fremdanbieter gar keine Chance hat, weil dieser Stack einfach ausgereift, durchdacht und schon da ist, dass da einfach gar kein Weg mehr dran vorbeiführt.
Wenn er halt technisch und preislich am Puls der Zeit ist, wenn der fünfmal so viel kostet für eine Gemeinde wie irgendein anderer Stack, dann bringt das nichts. Oder wenn der über zehn Feierwolls nur erreichbar ist für eine Gemeinde, dann bringt das auch nichts. Aber wenn das Spaß macht, mit dem Stack zu arbeiten und der Bürgermeister sich freut, wenn er sich ihr Geld spart, dann wird der dafür sorgen, dass die Ausschreibungen über den Fachverfahren und was auch immer auf diesen Stack laufen.
Und genau das sehen wir im Ausland. Dort, wo es keine rechtliche Verbindlichkeit gibt bei der Einsetzung, bei der Nutzung gewisser Standards oder des Stacks als solchen, dort ist das Angebot aber auch verdammt gut. Und ich weiß nicht, ob wir in Vergangenheit hier in Deutschland immer verdammt gute Angebote auf staatlicher Seite hinbekommen haben, weswegen es umso wichtiger ist, das jetzt hinzubekommen. Und es gibt halt diese Komponenten.
Gleich mal noch eine Frage, mal so ein bisschen an die Wirtschaft, an die Digitalwirtschaft. Haben wir es in Deutschland im Kreuz, so groß zu skalieren, wie wir uns das aktuell die Hyperscaler vormachen? Also wenn jetzt gerade der Bund kommt und sagt, er will für alle Verwaltungen im Bund zum Beispiel OpenDesk ausschreiben.
Zwei Gedanken dazu. Also das eine ist, wir schaffen das nicht, nicht eine einzelne Firma in Deutschland und auch nicht alle Firmen in Deutschland. Deswegen ist das Thema der Open-Source-Kollaboration so unfassbar wichtig. Und den Eurostack eben auch zu denken, als das ist etwas, was eine Industrieinitiative, ein Zusammenschluss der Industrie wuppen kann, dann sind wir in einer Größenordnung, wo man schon sagen kann,
dann kann man vielleicht auf Augenhöhe sprechen. Aber wir schaffen das nur zusammen. Und zusammen funktioniert eben auch nur im Open-Source-Gedanken. Siehe Airbus. Also es gibt ein Beispiel, wo man in Europa geschafft hat, etwas aufzubauen, was gegen einen amerikanischen Industriegiganten Boeing funktioniert. Und das ist Airbus. Und das ist eine Industrieinitiative. Also wir brauchen in unserem Bereich wieder eine Äquivalenz dazu. Das ist das eine. Also es geht sowieso nur zusammen.
Deswegen sitzen wir auch hier zusammen auf dem Podium zum Beispiel oder sind zusammen in der OSBA. Der Gedanke, der verfängt sich ja und nicht nur auf deutscher Ebene, sondern auf europäischer Ebene. Das andere ist aber, und da möchte ich ein bisschen an das auch anknüpfen, was Daniel vorhin gesagt hat, muss es denn immer gleich so riesig sein? Kann es nicht vielleicht stattdessen smart sein?
Also warum müssen wir denn immer auf alles so viel Geld und so viel Strom und so viel Ressourcen werfen, anstatt vielleicht vorher unser Hirnmann anzuschalten und zu sagen, wie ist es denn mit kleinen, vielleicht föderierten Lösungen? Vielleicht ist Dezentralisierung in einzelnen Aspekten ein interessanterer Ansatz, der eben auch ressourcenschonender ist. Also müssen wir genau denselben Weg gehen, den die US-amerikanischen Hyperscaler gehen?
Oder können wir vielleicht unseren eigenen Weg finden, wo es gar nicht notwendig ist, das 1 zu 1 nachzuspielen?
Diese Hyperscaler sind dem Weg ja auch gar nicht gegangen, dass die auch von Zero to Hero so schnell wachsen mussten. Die sind ja auch langsam gewachsen. Darum habe ich bei deiner Frage gerade ein bisschen überlegen müssen. Also wenn man sich jetzt einfach vorstellt, wenn alle Behörden jetzt auf einmal auf Open Desk migrieren, was das an Migrationsaufwand für E-Mails, für was auch immer, was dahinter ist, das wäre von der Manpower sehr, sehr schwer zu erbringen.
Aber wenn jetzt neue Ministerien aufgebaut werden, dass man da dann nicht wieder dieselben Fehler macht, wo man sagt, wir wissen doch, dass wir nicht in eine Office 365-Falle laufen wollen. Wir wissen doch, dass wir nicht einen Amerikaner als Videokonferenzlösung haben wollen. Wenn solche Ministerien jetzt neu aufgebaut werden, warum man sich dann nicht traut, dass man sagt, okay, wir gehen einmal einen alternativen Weg, auch wenn er vielleicht nicht 100 Prozent richtig ist.
Aber ich mache jetzt garantiert nichts falsch, wenn ich nicht sofort gleich alles nach Amerika verkaufe. Also das ist halt da, wenn man, sage ich mal, wie es die Jutta sagt, ein bisschen alternativ denkt und einfach sagt, okay, es gibt den Weg, dass in der Mitte, glaube ich, kann man auch einiges erreichen. Und es gibt ja genug Behörden, die was umstrukturiert oder irgendwas wird.
Und wenn man da dann einfach, ob es jetzt OpenDesk oder der Linux-Arbeitsplatz oder was auch immer ist, da kann man dann schon Erfahrungen sammeln, um Futter für den Deutschlandstack zu liefern. Dann weiß man als Behörde, von was man redet, wenn man so einen Deutschland-Stack definiert.
Zumal wenn du Open Desk als Beispiel nimmst, haben wir es im Kreuz, wir haben ihn ja schon da. Er ist ja schon im produktiven Einsatz. Der Open Desk funktioniert. Ihn auf drei Millionen Arbeitsplätze auszurollen, den Migrationsaufwand, klar, den muss man mal machen. Das ist dann nicht das. Aber Hardware-Ressourcen sind dafür da. Das ist ja nicht das Thema.
Und es gab neulich so ein etwas, aus meiner Sicht, etwas schwieriges Zitat, Was ein bisschen die Frage aufbrachte, könnte denn ein kleines Zendes mit seinen 30 Mann dem großen Microsoft entgegentreten? Und da komme ich dann genau in Jutters Richtung und sage, naja, aber wir sind eben nicht 30. Unter uns stehen all die Dienstleister, all die Hersteller der Software. Genau das ist ja das Open-Source-Ökosystem dahinter. Was es in anderer Form auch proprietär gibt, will ich ja gar nicht in Frage
stellen. Aber wir haben ein so großes Netzwerk an Softwareherstellern, an Entwicklern in Deutschland, die wir auch beim Open-Desk natürlich hinzugreifen. Wir sind Hunderte, wenn wir es so wollen, um dieses System hochzufahren. Und wie gesagt, wenn man es dann ausrollen möchte, dieses Administrative, das ist sicherlich ein gewisser Aufwand, aber das Netzwerk und die Infrastruktur haben wir schon längst im Kreuz. Er ist ja da.
Das müsste viel deutlicher und lauter sagen, weil ich sehe aktuell, wenn ich so beobachte, was so ringsherum passiert, sehe ich tatsächlich die Fälle davon schwimmen. Es gibt große bundesweite Rahmenverträge zu M365. Die Länder springen jetzt alle auf und machen nochmal ihre eigenen Rahmenverträge mit M365. Und die Kommunen, also ich arbeite gerade sehr stark auf kommunaler Ebene, die sind heiß drauf, weil es einfach ist und es ist schon da.
Und es ist bloß ein Klick und dann ist es umgestellt. Dann arbeite ich nicht mehr auf meinem Windows mit lokal installierten Office-Paketen, sondern mache das alles in der Cloud. Sauber läuft. Und da ist die Umstellung passiert innerhalb von 24 Stunden. Und wenn ich mir da überlege, wir hätten es im Kreuz, das alles mit OpenDesk zu machen, das dauert auch die Umstellung länger zum Beispiel.
Die dauert mit Sicherheit länger, weil es ja von der einen Technologie zur anderen ist. Ich glaube, wir haben uns jetzt, viele Unternehmen haben sich jetzt über 20 Jahre lang in eine Abhängigkeit begeben. Da sind einfach, wie Reif es sagt, da ist einfach etwas aufgebaut worden, was wirklich erstmalig harte Migrationen sind. Von Microsoft zu Microsoft zu migrieren, das ist halt keine große Herausforderung. Da muss ich die Daten von X nach rechts schieben.
Wir sprechen jetzt auf einmal teilweise andere Formate, andere Standards. Das ist eine einmalige Migration. Es gibt auch andere Prozesse, alles keine Frage. Aber das muss man einmal gehen. Darüber hinaus ist es ja nicht komplizierter oder schwieriger.
Aber ich glaube auch, keiner von uns auf dem Podium wird behaupten, dass es leicht ist. Also wir sagen ja nicht, wir müssen das tun, weil es total geil funktioniert jetzt schon. Sie sagen, es ist notwendig, weil es unausweichlich ist, weil es alternativlos ist, dass wir diesen Weg gehen, weil sich in den USA, dort wo die Technologien entwickelt werden, ein Unrechtsstaat entwickelt, wo sich Faschismus aufbaut, wo eine Ideologie herrscht, die mit unseren Werten hier nicht vereinbar ist.
Und dann zu sagen, wir kaufen weiterhin Technologien aus diesem Land. Finde ich, ist nicht mehr machbar. Und diese Situation wird sich immer weiter verschärfen. Wir sehen das eben auch nicht nur in Bezug auf jetzt Arbeitsplatzsysteme oder Cloud-Infrastrukturen. Das aktuell größte Thema meiner Meinung nach ist KI, weil über KI aus den USA ganz gezielt Desinformation und Propaganda und falsche Fakten herübergeschwemmt werden. Und da müssen wir auch eine Brandmauer setzen.
Und deswegen ist die Notwendigkeit da. Und das bedeutet, wir haben jetzt einen verdammt harten Weg vor uns. Und ich sehe die Politik in der Verantwortung, die Gesellschaft mitzunehmen auf diesem harten Weg. Es ist dasselbe Thema wie bei der Klimakatastrophe. Leider auch dort Realitätsverweigerung von Seiten der Bundesregierung. Aber wir müssen sehr viele Dinge ändern, damit wir vermeiden, einfach unterzugehen als Gesellschaft.
Das ist bei der Klimakatastrophe dasselbe Thema und hier sehen wir eben die ähnliche Problematik, einen Change einzuleiten, der für uns alle eine komplette Umstellung bedeutet, aber nicht so trotz nicht weniger notwendig ist.
Ich traue mich jetzt, der Jutzer zu widersprechen. Also nicht zu widersprechen. Immer dieses Amerika, Amerika und egal, wer der nächste Präsident ist und egal, wann der nächste Präsident kommt. Und wenn dann wieder alles zurückgedreht wird, dann hoffe ich, dass wir uns nicht wieder in diese Abhängigkeit begeben nach Amerika.
Es geht hier um verdammt viel Steuergelder. Und wir haben verdammt, also ich schätze mal 80 Prozent unserer Bürger in Deutschland, denen ist die Souveränität in Anführungsstrichen, egal wo ihre Daten liegen, die geben ihre Daten für einen Klick, verkaufen die an jeden Tech-Konzern.
Das Geld wird bei uns in Deutschland aber immer knapper und das ist eben auch was, wir können hier mittelfristig verdammt viel Steuergelder sparen, wenn nicht jedes Fachverfahren von jedem Land und von jeder Kommune beauftragt wird, wenn nicht jede Cloud wieder aufs Neue konzeptioniert und implementiert wird. Und das ist einfach das, was man mittel- und langfristig garantiert als Ziel erreichen können, ist, dass wir Steuergelder sparen und egal, ob es Amerika den oder den Präsidenten haben.
Ich finde es spannend, dass du gerade das Thema Steuergeld ansprichst. Wir haben uns auch vorletztes Jahr die Frage gestellt, zumindest auf Bundesebene, wie viel Geld haben wir dann ausgegeben für digitalpolitische Initiativen und Projekte? Das konnte uns, das konnten uns diverse Häuser nicht sagen, auch das Bundeskanzleramt konnte uns diese Frage nicht beantworten, was halt auch nochmal auf eine mangelnde Steuerung hinweist.
Wir haben es dann berechnet, das waren 16 Milliarden allein im letzten Jahr. Das waren nicht alle Milliarden. Richtig und das nochmal auf Bundesebene. Ich möchte vielleicht zu dem, was du gesagt hast, jetzt mal Luise spielen und wir hören es glaube ich sehr stark. Es sind halt sehr viele Chancen gerade da, die jetzt gut und sinnvoll befüllt werden können.
Und deswegen auch hier nochmal der Appell, es sind viele Menschen, die sich diese Gedanken in den letzten Jahren gemacht haben, Geschäftsmodelle auch entsprechend aufgebaut haben, Betriebsmodelle aufgebaut haben und auch verstanden haben, wie so ein Ökosystem ineinander greifen kann. Redet mit den Leuten, bitte.
Und genau, ergänzend nochmal zum Thema Chance. Also wir tun ja manchmal so, als würden wir beim Deutschlandstack bei Null anfangen, weil es noch nichts gibt. Die Wahrheit sieht doch ganz anders aus. Wir haben viel zu viel und das passt nicht zusammen. Also wir haben irgendwie eine riesengroße, wunderbare Blumenwiese und wir wissen überhaupt nicht, wie wir dieses Feld jetzt bestellen sollen.
Und das wäre ja die Chance eines solchen Stacks, das mal zu sortieren und dann gucken wir uns einen einzelnen, so einen Buildingblock an in dieser Architektur und sagen, dafür, für diese Funktionalität, gibt es hier einen funktionierenden Markt. Und wenn ja, dann kaufen wir Produkte vom Markt ein. Und ehrlich gesagt, mir wäre es dann fast egal, wenn das ein US-amerikanischer Hersteller ist und der bietet das beste Preis-Leistungs-Verhältnis.
Würde ich sagen, fein, weil wir eine Wechselmöglichkeit haben, die ist so. Wir können da jederzeit weg und was anderes nutzen, weil einfach der Markt da ist. Dann wird es aber andere Funktionen geben, da gibt es keinen Markt. Da gibt es vielleicht kein einziges Produkt, da gibt es so ein bisschen Wildwuchs. Alle versuchen mit irgendwelchen Excel-Makros sich irgendwas drumherum zu bauen. Und ich glaube, Excel-Makros sind der eigentliche Grund, warum wir von Microsoft Office nicht wegkommen.
Und dass wir sagen, okay, und da gehen wir jetzt rein. Da beauftragen wir jetzt was? Eine Neuentwicklung. Und dann nicht mit einer Open-Source-Mindestquote, sondern mit einer absolut 100-Prozent-Verpflichtung. Public-Money, Public-Code für alles, was neu entwickelt wird. Aber wir entwickeln dann halt nur das, was es nicht schon gibt und was es nicht vielleicht am Markt verfügbar ist.
Bevor wir die Fragen öffnen für das Publikum, noch eine letzte Frage. Seht ihr momentan die Diskussion zum Deutschland-Stack als Bremsklotz für die Verwaltungsdigitalisierung? Kopfschütteln hört man im Podcast nicht.
Es gibt wahrscheinlich einige, die abwarten, was der Deutschland-Stack vorgibt, weil wir haben es heute schon mal gehört, es ist noch nie einer gefeuert worden, weil sie für IBM entscheidet und hier keiner den falschen Weg gehen will. Ich hoffe, dass der Deutschland-Stack jetzt nicht wartet, bis alle Komponenten im Detail definiert sind, weil es gibt so viele Komponenten, die sich in der Technik bewährt haben in der Wirtschaft.
Ob das der Cloud-Layer mit SCS ist, ob das Kollaboration mit Open Desk ist, ob das ODF für diese Makro-Problematik, dass man sich auch für das Open-Document-Format entscheidet. Es gibt gewisse Bauteile, die sind da. Und umso schneller sich der Deutschlandstack dafür entscheidet, die freizugeben oder zu zeigen, in welche Richtung es geht, dann wird auch diese Handbremse wieder gelöst. Aktuell ist dieser Deutschlandstack ein Martyrium, wo man jetzt nach einer Stunde… Ein Mysterium, kein Martyrium.
Entschuldigung. Man weiß, man weiß. Jetzt nach der Stunde wissen wir noch nicht so viel mehr, aber es gibt ein paar, die da sicherlich drauf warten, dass ihr die ersten Impulse gebt, in welche Richtung es geht.
Also das Beste, was das BMDS machen kann, ist wirklich in die offene Konsentierung zu gehen und zu schauen, wo muss es lang gehen, wie sind die Meinungen oder auch sukzessive mit Informationen eben rauszukommen und Teilerfolge zu feiern, an denen man sich an anderen richten kann.
Teilerfolge, was gibt es schon, was muss man gerade nicht neu erfinden?
So, das ist jetzt das Positive. Jetzt machst du das Negativ. Ich bin auch eher der positive Mensch und ich hoffe auch, dass es genauso in diese Richtung gehen wird und ich sehe viele, zumindest in meinen Hintergrundgesprächen Hinweise, dass es auch in diese Richtung gehen wird. hoffentlich auch kurzfristig. Das Negative wäre, der Zeitplan wird auch artikuliert, als dass es 2028 fertig sein soll.
Wenn wir bis 2028 nichts sehen und erst im Jahr 2028 die ersten Ergebnisse, dann haben wir natürlich ein Problem. Bremsklotz wäre es auch, wenn wir bis dahin nicht, wenn diese Aspekte nicht eintreffen und wir den Blick, den föderalen Blick außer Acht lassen, dass die Themen föderale Digitalstrategie, Deutschlandarchitektur, DeutschlandAPI, dass das weitergeführt wird auf interföderaler Ebene.
Weil ich kann mir auch gut vorstellen, dass wir in ein, zwei Jahren uns stark die Gedanken machen müssen, wie wir diese zwei Ebenen miteinander verbinden können, sodass daraus ein tatsächlicher Deutschlandsteck entstehen kann und nicht nur ein Bundestag.
Würde ich mich anschließen, also einmal sozusagen auf dieser vertikalen Ebene. Wir müssen sozusagen, wenn ich sage wir, der Bund, wir müssen in die Länder und Kommunen schauen. Gleichzeitig müssen wir nach Europa schauen, denn wir haben verschiedene gesetzliche Verpflichtungen, die uns ja schon zu einer Interoperabilität zwingend. Wir haben Interoperability Act, wir haben eine SDG-Verordnung, also wir haben diese ganzen Verpflichtungen und das ist auch gut so.
Und deswegen ist es ja auch gut, dass es ein gemeinsames europäisches Interoperability Framework gibt und an dem sollten wir uns auch ganz klar orientieren. Gemeinsam mit EIDAS und was da alles so kommt. Gleichzeitig auf der Horizontalen sollten wir eben auch schon mal schauen, woraus kann sich dieser Stack bedienen. Eben nicht nur technisch in den Produkten, sondern auch konzeptionell. Wie gesagt, Rahmenarchitektur, GavStack, die Dienstelandkarte aus der Dienstekonsolidierung.
Das klingt jetzt vielleicht nicht so fancy, aber das ist auch nichts anderes als ein Architekturbild. Das Cloud-Service-Portal, also es ist ganz vieles schon da. Und wenn wir es jetzt schaffen, das klug zusammenzustecken, dann kann das auch schnell gehen mit dem Deutschland-Stack.
Dann mache ich mal noch den Abbinder. Ich sehe den Deutschlandsteck auch als eine absolute Chance, gar nicht als Behinderer oder Bremse. Und ich habe das heute hier in dieser Runde nochmal so gemerkt. Für mich ist das wie so ein Stein, der ins Wasser geworfen wurde und jetzt zieht das Kreise. Und einer dieser Kreise ist dieser jetzt hier. Und ich glaube, wir haben schon sehr viel Sinnvolles dazu beigetragen.
Also allein das gesammelte Wissen, was hier zusammensitzt, ist, glaube ich, schon sehr hilfreich. Und wenn wir jetzt eben in eine Konsultation gehen, wenn wir weiter im Dialog bleiben, dann kann da was richtig Gutes draus werden. Diese Kreise, das ist das Potenzial, was es jetzt zu heben gilt.
Ja, erstmal vielen Dank an euch. Und jetzt öffne ich in Richtung Publikum.
Hallo, Miriam Seifert von der Open Source Business Alliance. Frau Kranich, ich wollte nochmal auf das Gleichnis mit der Blumenwiese zurückkommen. Ich fand das natürlich sehr sympathisch, dass Sie gesagt haben, da wo es keine Funktionalitäten gibt, da wird das mit 100% Open Source Vorgabe entwickelt. Ein bisschen kritisch finde ich den Punkt, wo Sie gesagt haben, da wo schon Markt ist, naja, ist ja egal, da nehmen wir vielleicht auch was, wenn es das proprietäre US-amerikanische ist.
Sehen Sie nicht die Gefahr, dass dann vielleicht doch, obwohl man sagt, ja, wir haben eine theoretische Wechselmöglichkeit, die Abhängigkeiten fortgeführt werden? Also weil das entspricht ja dann so ein bisschen der Variante, dass man sagt, auf der Wiese, die Blume, die schon am höchsten gewachsen ist, die wird dann am meisten gegossen und die anderen, die schon halb so groß sind, die gehen dann halt ein.
Also wenn man halt den vorhandenen, mittelständischen, deutschen, europäischen Open-Source-Markt stärken will, dann muss man denen ja auch eine gewisse Chancengleichheit geben und nicht sagen, in Anführungszeichen, der Teufel scheißt weiterhin auf den größten Haufen. Absolut. Genau, das wollte ich einfach nochmal nachfragen, ob Sie da nicht auch eine Gefahr sehen sozusagen.
Total, ich glaube nur, wir müssen in ein Risikomanagement. Also wenn wir über digitale Souveränität reden, ist das für mich auch wieder nicht binär, ja wir sind abhängig oder wir sind nicht abhängig. Denn ehrlich gesagt, wir sind immer von irgendjemandem abhängig. Und das ist auch okay. So funktioniert Globalisierung. Jetzt kann man sagen, ich finde vielleicht Globalisierung blöd.
Aber wenn wir einigermaßen auch kosteneffizient arbeiten wollen, müssen wir arbeitsteilig vorgehen und müssen manchmal Produkte kaufen, die es auf dem Markt einfach schon gibt. Das war jetzt ein bisschen polemisch, dass ich gesagt habe, von mir aus kann das nur SMR nicht. Aber es ist ja richtig. Aber ich brauche einfach Kriterien, nachdem ich entscheide, welches Produkt kaufe ich, welches kaufe ich nicht.
Und da wäre, aus welchem Land kommt der Hersteller für mich vielleicht eher ein nachgeordnetes Kriterium, wenn der Markt funktioniert. Natürlich muss ich den beobachten und merken, wann gibt es? Wird der Markt vielleicht irgendwann dysfunktional? Gibt es da irgendwie so starke Tendenzen hin zu einer Monopolisierung und dann muss eine Neubewertung durchgehen.
Ich muss ja da Wechselmöglichkeit haben. Es muss ja nicht bloß auf dem Papier, dass ich sage, es gibt ja fünf Hyperskyler, ich bin ja flexibel. Nein, ich muss mein Workload innerhalb von 24 Stunden von einem Hyperscaler zum anderen migrieren können. Und das kommt schon drauf an. Dann sind es seit einer Woche. Aber jetzt müssen diese Schnittstellen da sein, eine Wechselfähigkeit. Dann sehe ich es wie du. Und wenn es aus Amerika kommt, kommt es aus Amerika. Und wenn es aus Costa Rica kommt,
kommt es aus Costa Rica. Und wenn es aus Bayern kommt, ist alles gut.
Ich habe geschehen. Ich habe spannenderweise gerade nicht Wechselfähigkeit, sondern Excel-Fähigkeit gehört. Wechselfähigkeit. Ich darf nur mal Erinnerungen rufen, wo wir hier sitzen.
Ja, der eigentliche Deutschland-Stack wird ja bereits implementiert. Ich bin ja kritischer Infrastruktur unterwegs und der Hamburger Hafen, also der Hamburger Port Authority, hat mich auf den Container Days als Berater geoutet, deswegen darf ich jetzt auch über die reden. Hamburger Hafen, die Bahn, Lidl, Rewe haben alle Cloud-Edge-Systeme aufgebaut auf der Basis von Kubernetes.
Und zwar mit der Analyse, wenn uns die Amerikaner um die Ohren fliegen, weil wenn sie diese Geschichte machen, dass Trump in Dänemark einmarschiert oder sonst irgendetwas passiert mit den Kabeln im Atlantik, dann müssen trotzdem hier noch Waren ankommen. Also der wahre Deutschlandstech ist im Prinzip jetzt das, was vom Hafen in die Supermärkte ausgeliefert wird. Wenn wir die nicht hätten, hätten wir in einer Woche nichts mehr zu essen.
Wenn die Verwaltung nicht funktioniert, dann werden die auf Zettel umsteigen und das wird dann so werden wie am Berliner Flughafen jetzt. Das interessiert eigentlich nur peripher. Außerhalb der Verwaltung ist das eigentlich ein Randthema, was gar nicht wahrgenommen wird. Und der Open Desk, muss man sagen, ist eines der positiven Beispiele. Das skaliert eben so schnell, wie ich Kubernetes-Cluster ausrollen kann.
Und wenn ich das nicht kann, nachdem ich das also vor drei oder vier Jahren in die deutsche Verwaltungs-Cloud-Rahmenwerk reingeschrieben habe und das immer noch nicht durch ist, dann tun mir die Behörden leid. Wir haben Standards, die das einfach machen. Die muss man jetzt nicht noch, also die kann man noch erweitern. Man kann da sagen, ich will da jetzt noch Datenbanken in zwei Minuten draufsetzen. Das geht alles.
Das haben wir alles. Also neben mir sitzt jemand, da haben wir damals Updates so definiert, dass wir runter von einem einen Jahres- auf sechs Monate, drei Monate Zyklen Software-Updates in 20 Minuten gemacht haben. Man kann von einem Entwickler-Laptop bis in die Produktion in 20 Minuten deployen, wenn man das aufsetzt. Das muss die Vorgabe sein und die Technologien werden sich danach ausrichten.
Hast du noch eine Frage oder nur ein Statement?
Das war ein Statement. Jetzt ist die Frage, wie setzen wir das eigentlich um? Wo sind da die Umsetzungen? Also die Zeitvorgabe ist, ich muss ein neues Verfahren innerhalb von Tagen, Wochen umsetzen können und nicht, ich muss jetzt noch einen Ausschuss einrichten oder ich brauche jetzt noch ein Gremium, in dem ich einen Standard diskutiere. Das ist komplett uninteressant in der aktuellen Lage. Meine Frage ist, warum redet niemand über Software?
Am Ende vom Tag, wenn ich einen Stack dimensioniere und dieser Stack, ein ganz simples Beispiel, soll Georedundanz, eine von einer Anwendung, die hat einen State im lokalen Cache anstatt in der Datenbank, soll die geolokal einmal quer durch Deutschland shiften, dann ist das schweineteuer. Wenn ich eine Anwendung habe, die ist active-active in fünf Rechenzentren überall in Deutschland und der Traffic landet über den GSLB, dann sauber dort und eine einzelne Instanz kann jederzeit versterben.
Es gibt vielleicht auch irgendwo ein bisschen auf Storage-Level eine Synchronisation oder auf Datenbank-Level. Dann ist das im Vergleich dazu spottbillig. Aber wenn man jetzt sagt, man definiert einen Stack, für was denn? Was ist die Anwendungs-Level? Was soll da dran laufen? Und das ist aus meiner Sicht ganz wichtig mitzudenken.
Die Anwendung. Du brauchst ja erst einmal unten, sage ich mal, Hardware, Betriebssystem-Layer, Cloud-Layer, dann die Anwendung, dann vielleicht souveräner Arbeitsplatz, was auch immer. Aber die Anwendung muss ja auf irgendwas laufen.
Ich glaube, das ist eine wesentliche Frage, warum wir hier oben sitzen, weil wir auch diese Frage gern beantwortet hätten. Also da gibt es einfach wenig Klarheit derzeit und wir versuchen hier unsere Perspektiven auch nochmal mit reinzubringen. Und das, was du ansprichst, ist natürlich wesentlich, aber wir wissen es halt auch nicht.
Wobei ich würde vielleicht auch Richtung Qualität schieben, dass der Deutschland-Stack erstmal sich die Frage stellen muss, was brauchen wir und wie sieht es aus, dass ich dann die Einzelbaustelle qualitativ anheben muss. Ob ich eine Anwendung habe, die wirklich als kleiner Monolith rumläuft oder ob sie tatsächlich in der Lage ist, GeoRühnen dann zu funktionieren. Das ist dann vielleicht die zweite Frage. Natürlich sollte der Deutschland-Stack von vornherein wissen,
dass solche Anforderungen im Raum stehen. Ich glaube, das ist klar. Auf der anderen Seite, ich glaube, er sammelt erstmal, was brauchen wir denn, um dann in der Qualität tatsächlich anheben zu können.
Ja, ich habe zwei Fragen. Und zwar eine erste Frage hier an die Community. Frage, wer hat von den Unternehmen hier einen Kooperationsvertrag mit dem BSI?
Das BSI sitzt ja mit am Tisch.
Ja, wer hat einen Kooperationsvertrag mit dem BSI? Gibt es da ein Unternehmen hier? Ich sehe keins. Dann würde ich die Folgefrage an das BSI richten. Warum hat denn das BSI Kooperationsverträge mit Google, Und AWS? Kriegen die irgendwo ein Zertifikat, dass die da besonders sicher sind? Denn es geht ja um Sicherheit. Haben die da mit ein Alleinstellungsmerkmal, dass andere, die hier sitzen, dann ausgegliedert sind? Ja, da gibt es ja Fragen über Fragen.
Vor allen Dingen, die Verträge sind streng geheim. Ich habe extra nachgefragt. Es wird von Google, Oracle, AWS massiv Werbung gemacht mit den Inhalten der Verträge. Ja, schauen Sie auf die Website. Sechs Seiten bei Google. Also das sollte man nicht jetzt hier sagen, das stimmt nicht. Einfach nachschauen. Also das sehe ich Fragen über Fragen.
Also erst mal, ja, die Inhalte der Kooperationsverträge sind geheim. Das sind Geschäftsgeheimnisse der Unternehmen. Das war die Entscheidung der Unternehmen, dass das geheim ist. Aus einer BSI-Sicht kann man sagen, wir wissen alle, die Zeiten ändern sich. Früher sind wir ganz stark davon ausgegangen, naja, Vertrauen ist gut, Kontrolle ist besser. Heute sagen wir, nee, wir vertrauen nicht. Wir vertrauen niemandem. So ein bisschen so ein übergeordnetes Zero-Trust-Prinzip.
Das heißt, gerade die Unternehmen, von denen wir heute stark abhängig sind, die müssen wir stärker kontrollieren. Und das können wir, entweder können wir warten, bis wir einen gesetzlichen Auftrag bekommen als BSI, das zu tun. Oder wir reden mit diesen Unternehmen und sagen, wärt ihr bereit, uns in manche eurer Mechanismen schon mal tiefer reinblicken zu lassen, als es unser gesetzlicher Auftrag ist.
Und wenn die Unternehmen sagen, von mir aus können wir machen, da und da und da dürft ihr reingucken, und zwar in diesem Zyklus, in dieser Tiefe, und man schreibt sowas auf. Wäre das ja verantwortungslos von BSI zu sagen, ah nee, wir wollen gar nicht reingucken. Lasst mal, macht mal euer Ding ruhig weiter. So, was war die zweite Frage? Warum haben wir mit den hier anwesenden Unternehmen keine Kooperationsverträge?
Weil eine Kooperation genau das nicht ist, eine Kaufempfehlung oder ein Gütesiegel oder ein Zertifikat, sondern genau das. Wir schaffen uns eine Plattform, wo wir uns darüber austauschen, wie können wir die aktuelle Abhängigkeit eigentlich gut managen. Und ich fürchte, die Antwort, warum die Unternehmen hier, warum gerade keiner die Hand gehoben hat, ist einfach, weil wir als Staat von keinem dieser Unternehmen so abhängig sind, wie von ihnen genannt.
Aber doch eine Google-Zertifizierung, die jetzt doch die ein oder anderen Gemeinden, Kommunen, wieder in die Google-Cloud reintreiben, weil das missinterpretiert wird.
Es gibt keine Zertifizierung. Ein Kooperationsvertrag ist keine Zertifizierung.
Ich glaube, der Punkt ist die Kommunikation. Das ist ein reines Kommunikationsproblem. Ich verstehe den Hinweis. Es wurde voll ausgekostet. Wenn, dann darf.
Google es auch nicht öffentlich verwenden und nicht auf die Webseite mit sechs Seiten schreiben, sondern wenn es zwischen beiden ein Stillschweigen ist und auch nicht in die Öffentlichkeit getragen, dann ist das ja okay, dann bin ich vollkommen bei euch. Umso mehr ihr unter die Haube schauen könnt, umso besser ist es.
Aber wenn ihr nichts dazu sagen dürft und Google darf groß hinschreiben, deutsche Behörde hat uns geprüft und alles ist gut, dann laufen diese ganzen Bürgermeister, die sich um alles kümmern wollen, bis auf IT, einfach zu Google, weil sie sagen, egal was, ich verstehe es nicht.
Ja, danke schön für die Diskussion. Mich interessiert jetzt von euch auf dem Podium die Frage, ob ihr Initiativen kennt, wo sich Leute mal damit beschäftigt haben, was eigentlich für Elemente jetzt im Stack fehlen oder in anderen Open-Source-Lösungen, die zur Wettbewerbsfähigkeit von diesen Lösungen beitragen.
Weil mein, also Hintergrund für meine Frage, so mein Eindruck ist, dass quasi immer das so ein bisschen als Naturereignis betrachtet wurde, dass wir jetzt in dieser Abhängigkeit sind zu den Hyperscalern. Aber das ist ja jetzt nicht so, sondern in, also wir haben ja eine Situation, wo Leute sich immer noch aktiv offensichtlich für solche Lösungen entscheiden, weil sie eben angenehm sind, weil sie kompetitiver sind.
Jeder, der jetzt, ich weiß nicht, ob hier Fans von LibreOffice sind oder von LibreOffice Calc oder sowas oder von anderen Lösungen, die quasi versuchen im Wettbewerb sich zu verhalten, auch jetzt auf der Cloud-Ebene und sowas. Wenn man das vergleicht mit Lösungen, die uns die Hyperscaler jetzt vorsetzen oder für die wir uns entscheiden, habe ich den Eindruck, dass es immer noch aus der nutzenden Sicht gute Argumente gibt dafür.
Und was ich gerne hätte, wäre eine Situation, wo wir uns fröhlich und bewusst dafür entscheiden, souveräne Lösungen und Open-Source-Lösungen einzusetzen. Und dass es nicht immer so diesen Geschmack hat, wir müssen jetzt unser Gemüse aufessen. Es schmeckt aber nicht, aber wir machen es halt sowas, weil es dazugehört. Und die Frage jetzt an euch ist, kennt ihr Initiativen, wo sich jemand mal hinsetzt und mal so Gap-Analysen macht und guckt, was fehlt uns eigentlich?
Und dann vielleicht auch aus staatlicher Seite, ich arbeite für den Software-Tech-Fund und Software-Tech-Agency. Wir haben ja Instrumente im Staat, wo wir auch Investitionen funneln können in solche Gaps rein.
Auf föderaler, aber eben auf Bundesebene keine Initiativen, die ich jetzt kenne, wo Leute sich mal hinsetzen und sagen, lasst uns mal genau gucken, an welchen Stellen wir eigentlich mit gezielten Investitionen nachrüsten müssen, um quasi die Lösung wirklich von den Anwendern der Sicht oder von den Einkäufern her, dieses Einkaufen auch wettbewerbsfähig zu machen.
Frage, auf welchen Rahmen man das bezieht. Ich meine, der Open Desk war ja genau das. Wir haben geschaut, wir haben diese Lösungen, was brauchen wir denn, um dieses kohärente System daraus zu machen? Das ist ein Teil dieses Stacks, wo ja genau diese Frage gestellt wurde.
Ja, aber ihr investiert ja nicht sozusagen, Entschuldigung, wenn ich das kurz einmal eingehe, aber ihr investiert nicht sozusagen substanziell in diese Lösung. Ihr kauft die ein, integriert die, aber ihr investiert nicht in diese, oder korrigiere mich, wenn ich falsch liege, aber mit was für einem Budget investiert es Zendes in eine Lösung, die dann auf dem Desktop läuft, was vergleichbar ist mit der Investition von einem Hyperscaler?
Also zum Glück legen mir keine Zahlen vor, insofern kann ich darüber schweigen. Aber dass die kleiner sind, ich glaube, da sind wir uns einig. Aber es ist Teil vom Open Desk natürlich auch die Software, weiterzutreiben, in die Open-Source-Lösungen hinein, also nicht in die Proprietären, in die Open-Source-Teile dieser Lösungen hinein, um sie zu ertüchtigen, verschiedene Bedarfe der öffentlichen Verwaltung zum Beispiel zu decken.
Also das machen wir sehr wohl. Das ist auch vom BMI damals schon gekommen. Ob das vergleichbar ist mit den Hyperscaler, ich glaube, da sind wir uns einig, das werden wir nicht schaffen im Moment.
Kurze Frage und zwar, wie beurteilt denn ihr die Sinnhaftigkeit und die Umsetzung der WSI C5 Typ 2 Norm, die jetzt gesetzlich eingeführt wurde? Wie sind denn eure Erfahrungen damit und glaubte, dass sowas uns voranbringt.
Also wenn überall so drauf geschaut werden würde, wie bei dieser Zertifizierung, dann wäre das sicherlich sinnvoll, aber wenn man dann sieht, also mit der C5 wird einem relativ oft Steine in den Weg gelegt, die nicht notwendig sind, aber ich kann jetzt da nicht dazu sagen, ob die sinnhaftig ist oder nicht.
Wir haben gerade vor ich glaube zwei Wochen die Konsultation zur Fortschreibung des C5 abgeschlossen. Ich gehe jetzt mal davon aus, wenn jemand große Probleme mit dem aktuellen C5 hat, dann hat er die vielleicht da in diese Konsultation reingebracht? Also, Deswegen gibt es ja diese Verfahren, dass man sich da, dass wir diese Entwürfe veröffentlichen, dass wir Kommentierungen einsammeln, dass wir die intern bewerten, nochmal rausgehen in die Community.
Deswegen wird ja genau so ein Kriterienkatalog mit den Leuten, die ihn anwenden sollen, gemeinsam mitentwickelt.
Hallo, ich habe tatsächlich keine Frage. Ich würde gerne auf die Frage davor nochmal eingehen wollen, weil die schon benannte GovSec-Initiative macht genau solche Prüfungen. Also die gucken, was braucht eine Regierung, ein Land, eine Organisation, die die Regierung unterstützen wollen, was brauchen die für Anwendungen. Dann gucken die weltweit, die arbeiten zum Beispiel mit der ITU zusammen, Was gibt es für Lösungen? Welcher Bedarf ist da?
Die setzen dann auch gezielte Entwickler ran, um Open Source Lösungen zu entwickeln. Und tatsächlich ist die ITU und die GIZ gerade dabei, ein Prototyp Government Cloud aufzusetzen, wo Building Blocks eingebunden werden. Und tatsächlich haben wir weltweit geguckt. Ich bin Teil dieser Initiative. Was gibt es? Und wir sind ziemlich weit gekommen. Also die meisten Anwendungen gibt es schon, auch Open Source. Und wenn wir soweit sind, stellen wir das gerne auch Deutschland vor.
Ich würde da gerne noch einhaken, weil ich finde, diesen Mechanismus, den zu verstehen, ist so wichtig. Also klar kann man jetzt eine Gap-Analyse machen und sagen, das sind totale Gaps, hier sind Funktionale, hier sind welche in der Usability und so weiter. Aber wir werden ja nur vorankommen, wenn der Staat den politischen Willen hat und dann auch dort rein investiert, diese Gaps zu schließen.
Und das geht eben bei Open Source auch besonders leicht. Man muss aber eben schauen, dass das Geld auch wirklich darin fließt, dass auch upstream committed wird und dass die Produkte dadurch besser werden und auch wiederum allen zur Verfügung gestellt werden. Und genau so sollte mit öffentlichen Mitteln verfahren werden.
Also im Gafste gibt es schon einen ausführlichen Podcast. Den verlinke ich natürlich mit, könnt ihr euch gerne mit anhören.
Also eine Anmerkung, eine Frage zunächst zu den beiden Vorrednerinnen, also auch wir, Michael Littger vom Cyber Intelligence Institute, glauben, die Transparenz fehlt am Markt. Also das Argument, oft ihr in Europa könnt das ja eh nicht, halten wir für grundverkehrt. Es gibt Technologien, Dienste und Produkte, aber wir sind oft tatsächlich nicht bekannt und vor allen Dingen nicht staatenübergreifend.
Und deshalb wollen wir das auf der ITZE, auch der Nürnberger Messe auch vorstellen, diese EU-Wertschöpfungsallianz Cybersicherheit und Resilienz, einfach damit öffentliche Auftraggeber und private Auftraggeber wissen, dass es Lösungen gibt, die sie dann auch nutzen können. Das war also ein bisschen Werbung, auch ein bisschen eine Antwort. Und dann aber auch wirklich mein inhaltlicher These. Ich glaube, das darf man den BSI jetzt gar nicht vorwerfen. Die bemühen sich ja da redlich auch.
Ich meine, man hat gesehen, es gibt Grenzen. Bei Kaspersky wurde es dann anders geprüft und kommuniziert. Jetzt bei den Hyperscalen aus den USA macht man es eben auf die Weise. Ich glaube, es fehlt manchmal noch ein bisschen die Orientierungsansage der Bundesregierung.
Ich weiß nicht, das war sozusagen die These. Ich habe gerade wieder an der Beratung teilgenommen, eines Bundesministeriums, das eine Studie rausgibt zur digitalen Souveränität, diese aber anders versteht, als wir das zum Beispiel tun, nämlich völlig unabhängig von der Frage, aus welchem Kontinent kommt die Lösung, sondern kann nicht zwischen Google und Microsoft wechseln.
Und solange wir da keine klare Orientierung bekommen, kann die beste Sicherheitsbehörde der Welt da nicht wirklich mitarbeiten. Das wäre die These, die sie vielleicht bestätigen oder entkräften können.
Thorsten, wenn ich noch eine Frage mache, da mache ich noch mal Kurzwerbung für meine Studie, die vor zwei Monaten rausgekommen ist. Die geht nämlich auf diese Themen ein. Wir haben uns angeschaut, welche digitalen Bausteine auch im Kontext eines Stacks gibt es denn in Deutschland. Und da haben wir in der Erstanalyse über 130 Komponenten ausfindig machen. Nach engerer Filterung waren es 30 Komponenten in unterschiedlichen Zuständigkeiten auf unterschiedlichen föderalen Ebenen.
Aber schaut da gerne mal rein. Deswegen ist auch unsere Empfehlung so stark. Wir haben bereits vieles. Lasst uns nicht das Rad hier wieder neu erfinden.
Ich finde, das sind gute Abschlussworte. Vielen Dank, dass ihr mit mir diskutiert habt. Vielen Dank an das Publikum für die Fragen und Statements. Und allen Zuhörern und Zuhörern des Egalman-Podcasts, vielen Dank fürs Zuhören und bis zum nächsten Mal.