Ja, hallo und herzlich willkommen beim E-Government-Podcast Monatsschau Oktober 2015. Ja, es ist schon wieder das Jahr, neigt sich dem Ende und ich habe heute Gäste. Ich habe ganz vergessen, wer ich bin. Ich bin Thorsten Frenzel und ich habe heute Gäste in meinem virtuellen Studio. Und da ist ein neuer Gast, mit dem fangen wir gleich mal an. Hallo Andreas, ich grüße dich. Vielleicht stellst du dich auch nochmal ganz kurz vor.
Ja, hallo zusammen. Danke Thorsten. Schön, dass ich da sein darf. Mein Name ist Andreas Krupper. Ich bin IT-Leiter aus dem Landazam Starnberg und hoffe, mit euch wunderbare Diskussionen zu führen und einfach weiterzukommen in dem ganzen Thema E-Government und Digitalisierung. Vielen Dank und herzlich willkommen alle.
Ja, sehr schön, dass du da bist, Andreas. Und jetzt, auch wenn Peter heute nicht dabei ist, haben wir trotzdem Originalton Süd. Das gehört hier in die Sendung mit rein. Und Malte ist da. Hallo Malte, ich grüße dich.
Hallo Thorsten. Ja, für die, die mich vielleicht doch noch nicht so gut kennen, komme aus der Bundesebene und arbeite dort in einer nachgeordneten Behörde, dem Bundesamt für Parallel und Raumordnung und mache dort, was ganz ähnlich ist wie der Andreas, mache nämlich den operativen Betrieb.
Ich sehe schon, ich muss mich heute ein bisschen zurückhalten mit meinem Pseudo-Fachwissen. Und dann haben wir heute noch den Marco da. Schön, dass du auch mal wieder dabei bist. Hallo Marco, ich grüße dich.
Ja, hi, freut mich. Ich war jetzt schon länger nicht mehr dabei. Ja, Marco und ich bin viel in der deutschen Open Source und so Szenen unterwegs, Open Government-Szenen unterwegs und beruflich bei der FITCO.
Ja, wunderbar. Schöne Runde wieder zusammen und wir haben festgestellt, wir waren auf der SCON. Smart Country Convention 25. Andreas, warst du eigentlich auch da? Fällt mir gerade so ein.
Nein, leider nicht. Ich versuche es nächstes Jahr zu schaffen.
Okay, aber dann fangen wir mal an. Marco und Malte habe ich auf jeden Fall beide gesehen. Wie fand ihr denn die Scone dieses Jahr?
Also die Scone ist für mich die wichtigste Messe des Jahres. Aber vielleicht bin ich da auch etwas voreingenommen als Berliner. Sie ist nämlich in Berlin. Ja, aber es ist schön, weil da trifft man wirklich jeden. Da trifft man nicht nur den Thorsten, der sonst ja auch unterwegs ist, aber da sind eine Menge Kolleginnen und Kollegen. und auch für mich ganz wichtige, also ich treffe da auch eben Leute, die man, wie gesagt, sonst eigentlich nicht trifft.
Und deswegen, ja, und auch immer wieder tolle Vorträge und insbesondere, das finde ich auch das Schöne bei der SCON, ganz viele Workshops und Vorträge direkt aus der Praxis, also von Leuten aus den Ämtern, die dort hinkommen und so in diesen kleineren Vortragsseelen, denn auch nur so vor 30 Leuten oder vor 20 Leuten, Manchmal auch nur vor zehn Leuten, ja, da ist dann auch Platz, da kann man dann auch mal Fragen stellen, das ist dann sehr intim und da kann man auch in tolle Diskussionen gehen,
so ihre Projekte vorstellen. Also das ist, da kann man, da sollte man wirklich mal einen Blick drauf werfen, das ganze Tagesprogramm durchgucken. Der Kalender ist da nicht ganz so schön, da muss man viel scrollen nach rechts und links, weil es eine Menge Räume gibt und viel parallel stattfindet und ja, und sich das ganz genau anschauen, da sind wirklich immer wieder total tolle Juwelen dabei.
Marco, wie war es für dich?
Ja, ich finde das Schöne bei der Scone immer wieder, dass die Scone eine sehr offene Veranstaltung ist, das heißt, da können einfach alle hinkommen, Tickets sind kostenlos und das merkt man total von dem Publikum, finde ich, im Vergleich zu anderen E-German-Veranstaltungen, wo dann teilweise selbst für Behörden irgendwie dreistellige, also Preise für Eintrittskarten und zwar obere dreistellige Preise für Eintrittskarten verlangt werden.
Das ist natürlich bei der SCON nochmal deutlich offener und dementsprechend merke ich das immer wieder, ist die Gesprächsatmosphäre auch deutlich offener nochmal und einfach ein bisschen breiter, diverser.
So divers wie die deutsche IGAM-Szene eben so ist, aber einfach ein lockerer Austausch und super viele interessante Gespräche, die auch gar nicht im Programm auftauchen, sondern Leuten, denen man so über den Weg läuft, die spontan bei irgendeinem Stand mal vorbeischauen, bei einem Vortrag mal vorbeischauen, dann werden eben, Diskussionsrunden gehen auf nach so einem Vortrag und manchmal bleibt ja doch noch eine kleinere Gruppe stehen oder teilweise auch eine größere Gruppe.
Das finde ich an der Scorn ist echt immer sehr schön, auch von der Gestaltung her, einfach größere Messehallen, die sind zwar laut und auch sauanstrengend, wenn man da so den ganzen Tag rumläuft. Aber sie schaffen einfach einen Raum, auf dem man auch einfach sprechen kann und mit Leuten sprechen kann.
Mit denen man sonst wahrscheinlich einfach gar nicht sprechen würde, weil es im Alltag nicht passiert und man dann doch irgendwie der Vernetzungsaufwand, der da einfach sonst dahinter stecken würde, der einfach immens ist. Also klar, wenn man mit Leuten sprechen will, findet man schon in Kontakt, aber diese Zufallsgespräche, die würden einfach nicht stattfinden.
Und die haben mir auf dieser Scorn auch wieder total viele Impulse beschert und Ideen beschert, wo man wieder irgendwie noch mal anders denken kann, anders ansetzen kann oder wo man vielleicht auch nochmal irgendwie schlauer zusammenarbeiten kann in der Verwaltung. Ja, das ist immer wieder total cool.
Ja, ich finde die Scone ist auch eine der wichtigsten Messen im Jahr. Und was ich auch gut finde, ist, dass Zivilgesellschaft tatsächlich auch anwesend ist. Also zumindest die, die sich dafür interessieren. Also es kommt nicht der Bürger von der Straße dahin, aber es gibt, Marco und ich, wir wissen das, weil wir auch in diesen zivilgesellschaftlichen Bereichen unterwegs sind. Die trifft man tatsächlich auf der SCON und die sind auf den anderen Fachmessen leider ausgeschlossen.
Und das macht auf der SCON riesengroßen Spaß, weil man mit denen ins Gespräch kommt, die auch mit Leuten zusammenbringen kann, mit denen sie sonst nicht sprechen können. Die können halt plötzlich auch mal mit dem Digitalministerium sprechen, weil die gut vertreten sind oder die FITKUR sich mal anschauen oder sonstiges.
Also es ist halt immer noch so werktags und so richtig, also für viele Leute dann eben nur abends nach der Arbeit noch möglich. Nicht am Wochenende, aber trotzdem. Also in dem Rahmen tatsächlich einfach schön, dass es so offen ist. Es gibt die verrückten Leute, die sich freinehmen oder Gleichzeit abbauen und an dem Tag weniger arbeiten und vorbeischauen. Oder halt auch erst abends mal zu den Networking-Veranstaltungen vorbeischauen.
Und ja, das ist auch natürlich immer wieder total gewinnbringend, finde ich.
Es ist lustig, dass du es gerade sagst, dass das unten am Tage ist. Ich hatte heute erst eine ganz interessante Diskussion. Da ging es um Open Data. Und zwar hatte ich erzählt, dass der Open Data Day in München ist an einem Wochenende, am Samstag. Und da sagten mir Teile von denen, die halt offene Daten zur Verfügung stellen, also aus der Verwaltung, die sagen, ja Samstag ist ja blöd, da kann ich ja nicht hingehen.
Da habe ich gesagt, das ist genau das gleiche Problem, weil die, die Daten konsumieren wollen, die können unter der Woche nicht. Also ihr könnt euch niemals treffen und niemals austauschen, wenn nicht beide in den Schritt aufeinander zugehen. Aber was mir aufgefallen ist auf der SCON, Thema Nummer eins, KI. KI, IT-Sicherheit und was ganz schlimm mir aufgefallen ist, ist KI und Prozesse.
Also wir haben jetzt inzwischen KI, die uns Prozesse malt. Ich warte jetzt dann auf die KI, die dann die Prozessor abarbeitet.
Also Stichwort KI ist ein ganz interessantes Stichwort, weil ich bin über die Scone gelaufen, habe so Vorträge von der Seite auf den großen Bühnen wahrgenommen. Und ich sage jetzt nicht welche, aber bei einigen Vorträgen, da habe ich mir schon die Frage gestellt, hat die Person jetzt wirklich ihren Vortrag selbst geschrieben oder ist das gerade irgendwie KI-Output?
Also gerade bei diesen High-Level-Keynotes, das ist, also mir ist es schwer gefallen, das zu unterscheiden, wo da jetzt die, eigenen Inhalte waren und wo es halt irgendwie KI-Blabla war bei einigen Vorträgen, das ist halt immer, also, und das ist total spannend, weil das geht ja jetzt tatsächlich wirklich, also ich könnte jetzt einfach irgendwie per KI da auf die Bühne stellen, was halt vorher irgendwie doch auch Aufwand war, so,
Sehr, ja, mir halt irgendwie erst mal zu überlegen, was ich denn sagen will, auch wenn es viel Schall und Rauch ist. Und inzwischen schreibt man sich halt Tacken vorher irgendwie einen Prompt und da kommt ein Vortrag bei rum. Nicht alle Vorträge natürlich, klar, aber so bei dem einen oder anderen Vortrag, da sind wir noch weit von der Umsetzung entfernt.
Und dieses immer herbeigeschworene Umsetzungsproblem der Verwaltung zeigt sich da natürlich auch total stark, dass einfach kein Verständnis dafür da ist, wie wir denn eigentlich von der Problemanalyse in die Praxis kommen.
Aber wie gesagt, KI-Tools waren da wahnsinnig viele. Also KI-Tools, die Prozesse bauen, KI-Tools, die Low-Code bauen, wo ich überhaupt nicht verstehe, was das soll. Also ich habe schon Low-Code, da brauche ich ja keine KI, die Low-Code baut. Also am Ende baut eine KI mir Prozesse und daraus eine Low-Code-Anwendung. Also das ist absoluter Kram. Also brauche ich nicht, ich wollte jetzt nicht Bullshit sagen.
Aber man kann KI auch vergewaltigen. Wir sollten sie doch da an den Stellen einsetzen, wo es sinnvoll ist. Und die Anwendungen, die meisten Anwendungen, die ich da gesehen habe, gehen über Chatbots nicht hinaus.
Ja, wobei du kannst ja KI zur Unterstützung bei der Entwicklung nutzen, bei der Softwareentwicklung. Das wird ja schon ganz viel gemacht. Also die großen Code-Editoren, also die großen Entwicklungstools haben ja alle viel KI eingebaut. Und die Hersteller von diesen Low-Code-Anwendungen, die machen das auch und die sagen, damit wäre man noch viel effizienter. Also die verkaufen darüber. Also das kommt nicht von ungefähr, Thorsten.
Also zumindest die Anbieter dieser Low-Code-Umgebungen behaupten, das würde nochmal ganz viel bringen.
Also das Heilsversprechen ist ja immer wieder, ich spare mir damit Aufwand in der Software-Entwicklung oder Low-Code-Entwicklung. Und das ist ja schon bei der, wir merken das ja immer wieder auch schon bei klassischer Softwareentwicklung immer so ein Thema. Also wenn eine KI mit genutzt wird und die Person vom Rechner, die den Code schreiben soll, dann an der Stelle nicht realisiert oder den Code, den die KI geschrieben hat, nicht versteht oder...
Nicht nachvollziehen kann. So als Unterstützungstool kann das ja vielleicht sogar noch sinnvoll sein. Aber halt die Gefahr ist ja immer, und das passiert ja in vielen Fällen dann eben auch, dass KI-generierter Code unhinterfragt übernommen wird von Software-Ingeniers, und dann halt Probleme auftreten oder die Code-Qualität massiv darunter leitet. Ich will nicht sagen, dass es da gar keine Anwendungsfälle gibt.
Also es gibt bestimmt auch in der Softwareentwicklung Anwendungsfälle, aber das ist natürlich nach wie vor kein Ersatz für gute Software-Ingeniers. Und so ähnlich sehe ich es auch bei Low-Code. Also wenn jetzt sozusagen das Heilsversprechen von Low-Code ist ja.
Wir brauchen keine SoftwareentwicklerInnen mehr, wir können einfach ganz klassische, in dem Fall Verwaltungsmitarbeiter, Verwaltungsfachangestellte da hinsetzen und die ganzen Lösungen in Low-Code abbilden, so gesetzt, die haben irgendwie ein gewisses technisches Verständnis, klappt das vielleicht sogar, also klappt das vielleicht sogar hier und da so ein bisschen, aber halt in komplexeren Szenarien brauchst du halt die Expertise
aus der Softwareentwicklung und kommst da auch nicht drüber rum mit irgendwelchen Low-Code-Lösungen, Weil damit kann ich vielleicht mal einen fachlichen Prozess modellieren, aber damit kann ich halt nicht modellieren, wie das Ganze am Ende auch irgendwie technisch abgebildet werden soll und was für Sicherheitsimplikationen sich aus diesen Prozessschritten auch ergeben.
Also so spätestens, wenn ich dann an irgendeiner Stelle mal ein Vertrauensniveau sicherstellen muss, dann brauche ich ein Verständnis darüber, wie Vertrauensniveaus funktionieren. Und das haben halt die meisten Verwaltungsfachangestellten dann irgendwie doch nicht. Und die komplexen Zusammenhänge, die da hinten dran stehen, sind ja nicht weg.
Ich glaube, das fängt schon früher an. Das fängt schon da an, wenn man eine Schleife braucht oder sowas. Also das versteht schon viele nicht.
Genau, aber die wird ja von der KI jetzt geschrieben, die Schleife.
Ja gut, aber ich muss trotzdem verstehen, was die macht.
Nö, da kann ich die KI ja dann erklären.
Genau.
Darf ich noch einmal für Bingo bei den ganzen Kollegen hier sorgen?
Denk an die 5 Euro, ne?
Ja, klar, das mache ich diesmal nicht, nein. Aber wir können ja jetzt mit KI-Unterstützung in unserer Low-Code-Umgebung mit Vibe-Coding die Anwendung entwickeln. Und jetzt müssten alle mal Bingo gerufen haben, glaube ich.
So, damit ist das Thema für die nächsten drei Folgen EGF-Podcast gebannt.
Ja, nee, die Leute trinken dann Schnäpse, wenn sie Vibe-Coding hören. Es gibt noch so ein anderes Wort, das ist aber gebannt, das darf Malte maximal zweimal pro Sendung verwenden, sonst kostet es 5 Euro.
Okay.
Aber einen Punkt möchte ich ergänzen zum Thema KI. Ich war mal auf einem Vortrag, wo auch beide Verwendungen von KI mit der Teil war, nämlich die Härtung der Systeme, die da gar nicht berücksichtigt wird. Und dann ist das Ganze wunderbar offen, es werden Daten von allen Seiten eingespeist und dann haben wir den Verwaltungsmitarbeiter, der vielleicht daraus noch ein bisschen Low-Code generiert hat für alle. Und das, glaube ich, berücksichtigt man in dem Kontext nämlich auch überhaupt nicht.
Und der Verwaltungsmitarbeiter stellt dann noch fest, Mensch, das wollen ja so viele, mache ich ein Geschäft draus.
Ja, genau.
Ich mache eine Ausgründung und dann verkaufte er Low-Code-Anwendungen, die alles andere als sicher sind.
Übrigens, in Gesprächen jetzt in diesem Monat und auch, habe es auch nochmal gelesen, Wurde auch nochmal ganz eindeutig gesagt, im Grunde der Erfolgsfaktor für KI-Projekte sind strukturierte Daten. Mit strukturierten Daten klappst, ohne strukturierte Daten scheitere ich mit großer Wahrscheinlichkeit und da sind wir wieder bei den strukturierten Daten.
Genau, hatten wir ja schon in der Vorbesprechung mit den strukturierten Daten und wir sollten auch gleich mit Strukturen anfangen. Ich mache jetzt mal weiter in unserer Struktur und es war noch eine andere wichtige Veranstaltung, also zumindest für uns in Bayern ist es, glaube ich, wahrscheinlich die wichtigste Messe, die alle zwei Jahre stattfindet im kommunalen Bereich, die Kommunale. Andreas, wir haben uns da getroffen, wie empfandst du dieses Jahr die Kommunale?
Ich habe die Kommunale sehr angenehm gefunden, war sehr guter Aussteller dabei, viele schöne Produkte. Auch deine Podcast-Folge vom letzten Mal mit den Startups, die du vorgestellt hast, habe ich sehr gut gefunden. Auch auf den Ständen habe ich mich getummelt. Waren interessante Vorträge mit dabei. Aber in dem ganzen Punkt bei der Kommunale habe ich mir eine Frage gestellt.
Wir können ja die tollsten Sachen bereitstellen über die Unternehmen, die da mit dabei sind, von AI-Prozessmodellierung bis hin zur Termin-Online-Buchung und was wir alles gesehen haben.
Coolideck haben wir auch gesehen.
Oh ja, die waren auch cool. Für mich stellt sich natürlich aber eine ganz andere Frage in dem Kontext. Wie bekommen es wir eigentlich aus unserem Kreis raus, die sich sehr speziell mit der Digitalisierung befassen, nämlich dahingehend, die den ganzen Tag damit arbeiten müssen, nämlich zu unseren Kollegen und Kolleginnen, die sich wirklich digital weiterentwickeln müssen und digitale Kompetenz aufbauen müssen in ihrem eigentlich schon kompletten stressigen Arbeitsalltag.
Deswegen würde mich mal von eurer Seite interessieren, wie kriegen wir das an unsere User ran, um die digitalen Mittel, die wir dann haben, besser nutzen zu können.
Also ich kann dir eins sagen, ich hatte diesmal einige meiner neuen Mitarbeiter dabei und denen habe ich auch gesagt, geht über die Messe, guckt euch an, guckt euch die Dinge an, fragt einfach an den Ständen, was sie da so haben, was sie da so anbieten.
Wenn es euch interessant vorkommt oder vielleicht auch wenn es euch komisch vorkommt, geht hin, redet mit den Leuten und habe wahnsinnig gutes Feedback bekommen, dass die Leute endlich Dinge verstanden haben, Vor allen Dingen, wenn du nicht aus der Verwaltung kommst und dir irgendjemand was erzählt von dem Fachverfahren oder von OSCE oder DVDV oder was weiß ich was, was sollst du das wissen?
Aber die Leute haben sich das angeguckt, haben tatsächlich auch nachgefragt, sich Sachen erklären lassen und die fanden das gut. Und ich finde, gerade die Kommunale, vielleicht nicht die Scone. Die Scone ist ein ganz anderes Level, auch der Leute, die dort sind und auch der Ausschärte, die dort sind. Aber gerade die Kommunale, die bietet total viel für die Sachbearbeitenden. Und die können sich da ganz viel informieren drüber.
Und gut, es gibt natürlich auch jede Menge Giveaways, die da auch immer gut eingesammelt werden. Und ich finde, gerade die Kommunale könnte sogar als Bildungsurlaub gelten für mich.
Ja, könnte man sehen. Also ich glaube, so oft an dem Tag wurde ich noch nie mit der Hundesteuer konfrontiert, weil das ist ja der Klassiker für den ganzen Digitalisierungsworkflow in den einzelnen Bereichen. Also das ist schon ein guter Tipp, dass wir hier eigentlich auch mehr unsere Kolleginnen hinschicken sollten und nicht nur wir direkt mit der Digitalisierung zu tun haben.
Genau und vor allen Dingen, wenn du auf der Kommunale bist, ich erzähle das immer gern, als ich damals bei der AKDB, bei meinem damaligen Arbeitgeber angefangen habe, das war direkt, ich habe im September angefangen und im November war Kommunale, also ich war wirklich niegelnagelneu. Und da haben die zu mir gesagt, gehst du in die Hallen rein, du findest uns schon, weil wir haben einen großen Stand.
Und ich bin nicht in die Haupthalle, in die Halle 9 reingegangen, sondern eine von den Nebenhallen. Und da bin ich reingekommen und da waren dann Lampen, Straßenlampen, Gullideckel, Parkbänke. Da habe ich gedacht, was ist denn das für eine komische Messe? Ich bin doch bei einem IT-Dienstleister. Da war doch irgendwas mit Computern und so. Und das ist super interessant zu sehen, wie das Ganze auch zusammenwirkt. Also weil so eine Lampensteuerung ist halt auch digital.
Das kommt in den Kommunen ganz deutlich vor. Gut, so ein Gullideckel ist noch nicht digital, aber es gibt da wahnsinnig viele Sachen, wo die Digitalisierung, was die Sachbearbeiter in ihrem Büro erleben, auch quasi bis hin in den Baumarkt, ich wollte Baumarkt sagen, nein, in den Bauhof gehen, Baumarkt gibt es auch digitale Sachen, aber wo es in den Bauhof reingeht, wo es auf die Straßen rausgeht, wo die Hausmeister mit zu tun haben,
wo die Schulen mit zu tun haben und das finde ich, das sieht man auf der Kommunale so richtig, die Zusammenhänge, was eigentlich alles Kommune ist.
Ja, man hat auch nicht nur die klassischen E-Ladesäulen, die natürlich auch mit dabei waren, sondern wirklich das, was du auch im Rathaus dann brauchst, was du vor Ort hast durch den Bauhof, der es verwalten muss, vom smarten Mülleimer bis zur smarten Lampe.
Also das hast du dann alles. Weil auch, wenn du dir überlegst, Städte, die viel die Mülltonnen leeren müssen und den ganzen Tag im schlimmsten Fall im Kreis fahren und ich habe smarte Mülleimer und kriege nur noch gemeldet, wo ich anfahren muss, das ist Effizienz und Ersparnis von der Arbeit.
Genau, so ist es. Und wie gesagt, mein Blick erweitert das auch, weil hier sprechen wir auch nur über Anwendungen, Fachverfahren, Online-Dienste, Schnittstellen, was weiß ich. Aber dieses Weitere, was noch alles dazu gehört, das haben wir oftmals nicht im Blick.
Ganz genau. Also mir hat es gut gefallen.
Kann ich den Ball nochmal aufnehmen von Andreas?
Na logisch.
Und weil, wenn ich dich richtig verstanden habe, dann sprichst du auch davon, dass wir vielleicht irgendwo schöne Tools sehen oder vielleicht sogar einführen. Und dann, wie geht es dann weiter? Also wie schaffen wir es, dass auch alle, die davon profitieren könnten, das dann nutzen? Richtig?
Ganz genau. Also wie holen wir auch den Mehrwert raus, den wir erst einmal investieren, um dann den Mitarbeiter das heranzutragen zu können. Jetzt hast du mehr Werkzeug, mehr Tools, mehr Vereinfachung. Aber er muss es halt wissen, er muss es lernen oder mitgeteilt bekommen. Und da ist für mich so der Knackpunkt, wir haben so viele Möglichkeiten, die wir gar nicht wirklich zum Anwender bekommen.
Und das finde ich einfach sehr schade, weil wir diesen Mehrwert gnadenlos auf der Straße liegen lassen.
Ja, und das ist auch was, was ich mal wieder so ein bisschen beobachtet habe, weil in unserem Bereich, also in dem Bereich, in dem Andreas und ich arbeiten, da haben wir ja die Leute, die wirklich tolle Werkzeuge schaffen können. Und dann stehen diese Werkzeuge zur Verfügung. Nur die Frage ist, wie kommen wir denn dann weiter? Wer nutzt das? Wobei, das ist das eine. Wie kriegen wir das in die Nutzung rein, Andreas?
Das andere ist allerdings auch, was ich manchmal auch so ein bisschen vermisse, ist den längerfristigen Betrieb dann planen. Weil wenn man so ein Ding eingeführt hat, dann muss man das ja auch betreiben und updaten und mit Schnittstellen versorgen. Auch das, finde ich, fällt bei so einer Planung ein bisschen unter den Tisch. Also das eine ist irgendwo zu einer Messe gehen und sich ein schickes Tool erklären lassen und das vielleicht einkaufen.
Und das andere ist dann, dass da Jahre Betrieb und damit auch die technischen Schulden einhergehen, die man so aufbaut. Weil dann werden da Daten immer weiter reingepflegt und man hängt dann irgendwann ziemlich tief drin vielleicht. Da will man ja eigentlich auch hin. Also das ist ja, wenn man es dann geschafft hat, dass das alle nutzen, dann ist man da auch sehr stark in so einem Tool drin. Also das sind eine Menge Themen, wo ich auch der Meinung bin,
die so ein bisschen mehr Aufmerksamkeit gebrauchen könnten. Aber naja, wenn man auf so eine Messe geht, da sind halt die Hersteller und die wollen ja was verkaufen. Das ist so dieses, ja, aber wir stehen ja am Anfang von so einer Digitalisierungswelle und da gibt es eine Menge Hochglanz. Und das muss dann irgendwann alles betrieben werden. Andreas, du hattest gesagt, wie viele Fachverfahren habt ihr jetzt, die ihr betreibt? Du hattest eine Zahl genannt.
Also Fachverfahren, es sind dann auch einfach Verlinkungen auf Online-Plattformen etc., aber da kommen wir auf 250 bis 300 Stück, je nachdem, was wir zur Verfügung stellen, aber alles nicht selber on-prem, sondern auch gehostete Sachen oder dementsprechend einfach Zugänge dann, ja.
Ja, und wenn ich dann einen Blick in den Grundschutz zum Beispiel, den IT-Grundschutz vom BSI werfe, dann müsste ich alle diese bewerten und für alle diese einen Zuständigen haben, der auch immer schaut, wie sieht es mit den Updates aus und so weiter und so fort. Also da hängt eigentlich auch eine mehrere Bürokratie hinter bei dem Betrieb. Und dann gibt es vielleicht auch noch einen Datenschutz, der ja auch noch drauf gucken muss. Also das ist nicht ohne.
Ich glaube, jetzt kommen wir ganz schön weit weg von dem ganzen Thema Kommunale und Bildung. Also vielleicht nochmal ganz kurz zusammengefasst. Bildung und die Leute vor allen Dingen auch neugierig machen, also die Anwender neugierig machen, was denn so alles geht, was es für Tools gibt.
Ich glaube, das ist ganz, ganz wichtig. Und dann sind die nicht so überrascht, wenn dann so ein Tool eingeführt wird, wenn die schon mal irgendwas davon gesehen haben und vielleicht Vorteile gesehen haben, weil die Verkäufer, die verkaufen einem nur die Vorteile, gerade auf einer Messe und sagen, wie toll das alles aussieht und läuft. Gut, ich habe noch was Cooles gemacht in diesem Monat und zwar war ich bei einer Cyber Tabletop Exercise, hieß das. Das war wirklich cool, also das war so ein...
Also wir haben einen Cyber-Vorfall geübt und das Ganze wurde live gestreamt. Disconnected, unexpected heißt das. Und da gab es einen Spielleiter. Der Spielleiter ist bei der Kripo. Also der kennt sich wirklich aus, gerade so mit Cybercrime. Und der hat dann immer wieder Fälle gegeben. Und da war ein IT-Leiter dabei, da war ein IT-Sicherheitsbeauftragter dabei. Da waren ganz, ganz verschiedene Rollen besetzt, die auch diese Rollen tatsächlich im echten Leben haben.
Und dann wurde diese Übung da gespielt und das war mega cool. Das war auch total anstrengend, also ich war da nur der Protokollant, weil ich kann nicht wirklich irgendeinen Server wieder hochfahren, also da habe ich zu wenig Expertise, aber schon als Protokollant, ich bin echt ins Schwitzen gekommen, weil du ja bei so einem Cybervorfall mitschreibst.
Welcher Vorfall war, welche Entscheidungen wurden getroffen, vor allem um welche Uhrzeit, um hinterher auch nachvollziehen zu können, was da passiert ist und vielleicht daraus auch nochmal Rückschlüsse ziehen zu können, wie man sich im nächsten Mal besser aufstellt oder vielleicht daraus lernt und das war echt super, das ist dann nach einer Stunde abgebrochen worden, weil gut, wir hätten das glaube ich noch zwei, drei, vier Stunden und noch länger streamen
können, aber das Interessante ist, alles ist schon passiert und da kamen so richtig tolle Einwürfe von außen, da gab es auch ein Publikum, die noch so, Ideen hatten, was jetzt mal plötzlich passieren könnte.
Wir haben uns hinterher noch mal ein bisschen unterhalten. Der Spielleiter hatte auch noch auf dem Schirm zu sagen, dass von dem IT-Sicherheitsbeauftragten, der das ganze Projekt leitet, der gerade aus dem Urlaub zurückkam, die Frau anruft und sagt, du, wir haben Theaterkarten, du musst jetzt kommen. Also das sind alles Stressoren, die da mitspielen.
Und wenn du gerade sowieso den Kopf voll hast und nicht vorankommst und dann gerade aus dem Urlaub zurückgekommen bist und gar nicht weißt, was passiert, weil stündlich irgendwas dazukommt und dann ruft plötzlich noch jemand an und sagt, hey du, ein Privatleben hast du auch noch? Dann sind das alles Ressoren, die da noch mit reinspielen. Und der hat wirklich, wirklich tolle Fälle da reingebracht. Und auch von außen das Publikum, was da per Chat Aufträge reingeschrieben hat, das war echt cool.
Also das war wirklich, kann ich nur empfehlen, schaut euch das mal an. Auf Twitch ist das gestreamt worden. Disconnected, Unexpected. Und das kann man auch buchen. Man kann sich da auch zu einem Team dazu mitsetzen. Man muss einfach nur Kontakt mit denen aufnehmen. Und dann ist man bei einem der nächsten Streams mit dabei.
Da ein kleiner Hinweis von mir, ich finde diese Tabletop-Übungen sehr, sehr wichtig und da gibt es auch vom LSI bei uns in Bayern vorgefertigte Sachen, wo wir auf Tabletop-Übungen hingewiesen werden, wo wir die auch durchführen sollten und so eine Übung steht jetzt bei uns auch an, die ich im kleinen Kreis mache, um genau das zu verhindern, wann ist es mal eingetreten, das Ereignis und wie verhalte ich mich dann und
keiner weiß, wie wirklich der Ablauf wäre und das ist ein super spannendes Thema.
Also es hat wirklich Spaß gemacht, kann ich nur sagen. So, nächstes. Eins meiner Lieblingsthemen und Herzensthemen, die digitale Souveränität. Und digitale Souveränität und Kommunen ist immer noch so ein bisschen ein stiefmütterlich behandeltes Thema. Jede Kommune hat irgendwas mit dem Thema am Hut digitale Souveränität. Jede Kommune schielt so ein bisschen in Richtung Open-Source-Anwendungen. Und dafür ist jetzt ein kommunales Open-Source-Board gegründet worden.
KOSB ist in dieser Woche gegründet worden. Da sind dabei Dortmund, das Zendes und die KGST, die haben das initiiert und ich darf Teil des kommunalen Open-Source-Boards sein. Das sind 20 ausgewählte Mitglieder, die sich darum kümmern, das ganze Thema Open-Source und digitale Souveränität besser aufzubereiten und auch in die Kommunen zu geben.
Um hier auch Anwendungsvorschläge zu machen, den Austausch zu fördern zwischen den Kommunen, weil es muss nicht jeder zum x-ten Mal versuchen, wie man eine Nextcloud installiert, sondern da kann man sich irgendwie bei der Nachbarkommune mal informieren, wie machst du denn das? Und vielleicht sagt die einem sogar, ja komm mit auf meinen Server drauf, weil ich habe es bei mir eh schon laufen. Und genau solche Sachen wollen wir schaffen.
Wir werden unter anderem auch beginnen, mal eine Liste zu erstellen mit Fachverfahren. Mal sehen, was es da alles gibt, vor allem so im Open-Source-Bereich, dass nicht jede Kommune erstmal wieder gucken muss, was es überhaupt gibt am Markt. Also Marktrecherche nimmt wahnsinnig viel Zeit in Anspruch. Und genau diese Verfahren werden gesucht und die Listen werden gesucht.
Und das versuchen wir jetzt auch mal mit aufzustellen. Natürlich alles Open Source, alles unter Creative Commons Lizenzen, alles auf Open Code. Und ich finde, da ist echt eine tolle Truppe zusammengekommen. Wir hatten da zwei Tage wirklich einen guten Austausch. Da sind alle irgendwie unter dem gleichen Gedanken zusammengekommen und jeder hat trotzdem andere Herausforderungen. Und das war echt eine gute Sache. Und ich freue mich, wenn das jetzt losgeht und ich da mit dabei sein kann.
Thorsten, ich hatte das, glaube ich, schon mal vorgestellt, aber ich denke, das verdient der Wiederholung. Es gibt bei Interoperable Europe, das ist von der Europäischen Kommission, den EU Open Source Solutions Catalog. Dort werden die schönsten von diesen Lösungen vorgestellt. Open Desk ist da zum Beispiel drin, also das sind natürlich die großen Sachen, aber im Grunde genau solche Sachen, wenn ihr da schöne Lösungen habt, auch gerne in diesen Katalog einspeisen.
Aber auch sowas, was Andreas hat, der hat 250 bis 300 Anwendungen. Ich höre da so ein bisschen inzwischen den Zeilen heraus, dass das gar nicht so genau bezifferbar ist, wie viel eine Kommune tatsächlich an Anwendungen nutzt. Und genau um das sichtbar zu machen und das auch mal zu schaffen, dass eine Kommune weiß, was sie überhaupt alles hat, genau das ist auch ein Ansatz.
Es ist immer die Frage, was wir dann noch als Anwendung dazu bezeichnen. Ist es dann nur quasi schon das Online-Portal für die Förderungen? Zählen wir das als Anwendung mit dazu, weil wir das mit einstellen? Oder ist es nur die Software, die wir noch on-prem installieren? Oder ist es dann vielleicht auch noch unser Online-Portal für irgendwelche Software-as-a-Service-Anwendungen?
Und das ist schon allein das zu unterscheiden und dann, wie du gerade gesagt hast, in der Beschaffung, in der Markterkundung, dort mal einen richtigen Pathfinder zu finden, das ist schon schwierig.
Also was wir auch machen, wir kümmern uns darum, wie wir überhaupt kommunizieren wollen. Das ist ein Thema. Also und wir fangen jetzt mal an. Wir machen die ersten Aufschläge und das geht schon mal gut los. Also wir haben viel, viel diskutiert. Die Zeit war natürlich wieder knapp und das war gut. Und ich freue mich drauf, wie es dann weitergeht. Tolle Leute kennengelernt, alle engagiert. Und genau das ist das, was wir in der Verwaltungsdienstation brauchen.
Und ich habe noch einen Aufruf. Ich habe den schon mal über LinkedIn geteilt. Und zwar habe ich ja in der letzten Zeit viel zum Thema Deutschlandstack gemacht, auch im Podcast. Und die Sendungen sind auch wirklich, wirklich oft angehört worden. Ich sehe es bei mir in den Statistiken. Und da möchte ich jetzt einfach nochmal sagen... Der Konsultationsprozess ist losgegangen für den Deutschland-Stack und da hat jeder die Möglichkeit, bis zum 30.11.
Noch hier beizutragen, zu kommentieren. Das findet auch alles auf Open Code statt. Man kann hier tatsächlich jeden einzelnen Punkt des Deutschland-Stacks kommentieren und Hinweise geben, wie man es vielleicht anders machen könnte oder was man machen könnte oder was noch fehlt im Deutschland-Stack. Und ich rufe dazu auf, nutzt die Chance, weil wenn ihr die Chance jetzt nicht nutzt, dann dürft ihr hinterher auch nicht meckern.
Also tatsächlich, das finde ich tatsächlich sehr schön gemacht bei der Deutschlandstack-Geschichte. Es gibt einfach unten ein Kommentarfeld, man kann einfach einen Kommentar reinwerfen, super niedrigschwellig.
Es braucht keine lange Stellungnahme, sondern einfach so ein paar Ideen aus, ja, packt vielleicht gerne Links dazu, wo einfach noch weitere Informationen dafür sind, damit das Team hinter dem Deutschlandstack sich noch, ja, die Vorschläge, die ihr bringt, ja, weiter durchlesen kann und damit umgehen kann, weitere Informationen dazu finden kann, dann könnt ihr auch sehr leichtgewichtig mit wenig Feedback, äh, mit wenig Aufwand da Feedback zu geben. Ich bin mal wirklich gespannt, was draus wird.
Die Reaktionen auf den deutschen Sex sind ja durchaus, ja, ich sag mal, durchwachsen und ja, aber jetzt so früh in diesen Prozessen Konsultationsprozess zu starten, finde ich gleichzeitig auch eine starke Sache und erstmal Feedback einzuholen aus der gesamten Öffentlichkeit mit allen, die sich dafür interessieren. Finde ich eigentlich einen guten Ansatz.
Auf OpenCode kann man sehen, was da schon reingekommen ist. Und das ist doch schon echt eine große Menge. Also ich freue mich da auch drauf und vor allen Dingen, was da draus wird. Ich beneide nicht diejenigen, die das Ganze dann zusammen, also die Konsultation, die Konsultation konsultieren müssen, so zusammenbringen müssen.
Das wäre meine große Hoffnung, dass das BMDS das gut intern auch hinkriegt und vor allem diese Informationen nicht sozusagen weit weg von den Leuten, die am Ende auch Entscheidungen treffen und die am Ende auch den Deutschlandstack gestalten, dass die weit weg davon ausgewertet werden und dann so mit, Hierarchie-Ebene zu Hierarchie-Ebene immer weiter ausdünnen, sondern dass wirklich dieses Feedback, was da gesammelt wird, auch möglichst gut auch bei den
Leuten ankommt, die am Ende auch den Deutschlandstack gestalten werden. Ich glaube, das ist ein starker Erfolgsfaktor, der entscheiden wird, wie gut diese Konsultationen oder wie viel Mehrwert diese Konsultationen am Ende bringen wird. Und ich vermute, dass sich das natürlich auch auf den Deutschlandstack auswirken wird in der Qualität, weil das Feedback, was da reinkommt von allen Seiten, ist sicherlich sehr umfangreich, auch jetzt schon.
Also die Weichen sind gestellt, Und ich freue mich drauf. Und jetzt unser neuer in der Runde, Andreas. Du hast ein paar Themen mitgebracht.
Ja, ein paar Themen habe ich auch mitgebracht. Der erste Punkt ist unser Ausfall der AWS Cloud. Was haben wir denn da alles für schöne Dienste gehabt, die es betroffen hat? Unsere wichtigsten natürlich, unsere Streaming-Dienste. Ich hoffe, wir haben alle das nicht mitbekommen, am besten Fall zu der Uhrzeit.
Aber es sieht zum anderen wieder natürlich die Abhängigkeit, die wir haben, was dann passiert, wenn solche großen amerikanischen Global Player hier sagen, wir haben ein kleines DNS-Problem wie einst Meta und dann wissen wir nicht mehr, was wir machen sollen oder welche Dienste zur Verfügung stehen. Eine Frage in die Runde an euch, wen hat es betroffen oder habt ihr was mitbekommen?
Ich habe bei Signal, ich war gerade mitten in einer Unterhaltung mit Signal und dann wundere ich mich, warum geht das jetzt nicht raus? Es ging doch gerade raus und Antworten kamen auch keine mehr und dann habe ich mal geguckt, was ist mit Signal? Signal scheint down zu sein und auf der Signal-Seite stand nichts, aber irgendwann kamen die ersten Meldungen rein, dass AWS kaputt ist.
Also bei mir war es auch Signal? Ich war im Büro und dachte, dass das Gebäude wieder so schön LTE-Empfang wegschirmt. Aber trotz geöffnetem Fenster wurde dann irgendwie das Signal nicht besser und Webseiten looten irgendwie noch und das hat mich irgendwie sehr verwirrt. Ich habe es dann auf dem Mastodon-Account von Meredith Whittaker gesehen, dass Signal auch von dem AWS-Outage wohl betroffen ist. Aber irgendwie das, also es ist einfach ein nicht erwartetes Verhalten,
dass Signal mal nicht geht. Spricht für Signal. Von der Verfügbarkeit her. Er sollte eigentlich, also bei so einem Dienst wie dem auf der Größenordnung Naja.
Es ist eben doch viel zentralisierte Architektur bei diesen großen Anwendungen. Das war auch immer wieder Thema der Kritik an Signal, dass sie sich technisch doch zentralisiert aufgestellt haben und ich fand die Antwort darauf immer ziemlich gut. Oder das war eine von denen, wo ich viel andere Dinge auch verstanden habe, dass Signal letzten Endes gesagt hat, wir sind eine Kommunikations-App und wir müssen Dinge einfach und attraktiv gestalten.
Wenn wir das nicht machen, dann gibt es zu wenig Leute, die mitmachen und du willst ja doch mit deiner Anwendung mit deinen Familienmitgliedern oder mit Leuten kommunizieren, die nicht so technikaffin sind, die vielleicht weniger Verständnis haben, weniger Wissen mit so dezentralen Strukturen nicht umgehen können, wenn sie Dinge komplizierter machen.
Das heißt also, die haben wirklich Einfachheit und einfache Bedienung, doch sehr stark priorisiert gegenüber dezentralen und damit resilienteren Strukturen und brauchen dafür natürlich auch viel Vertrauensvorschuss, weil letzten Endes könnten sie sich ähnlich verhalten wie WhatsApp und ihre Anwendung auch an irgendeinen von den großen Social-Media-Netzwerken verkaufen. Das heißt, wir müssen da der Stiftung vertrauen, dass sie das nicht machen,
weil sie legen ja viel in wenige Hände. Und das merkt man dann bei so einem Ausfall. Auf der anderen Seite wäre das Signal wahrscheinlich nicht da, wo sie jetzt sind, wenn sie nicht das so gemacht hätten und praktisch das Einfache priorisiert hätten.
Ja, das ist immer die große Herausforderung von verteilten Systemen. Es macht natürlich die Systeme ein Stück weit komplexer und damit eben auch potenziell die Benutzbarkeit komplexer. Es ist aber kein fundamentaler Widerspruch. Also ich würde schon behaupten, das geht. Man muss aber auch, also Signal kann man zugutehalten. Wir haben echt viel Engineering-Aufwand in wirklich gute Verschlüsselung gesteckt. Also das ist nach wie vor Best Practice.
Eigentlich kämen wir später dazu, aber vielleicht kann man es auch jetzt kurz einbringen. Signal hat ja gerade Post-Quantum-Verschlüsselung auch in den Messenger eingebaut und damit sind sie einer der ersten oder ich glaube der erste Dienst, der auf der Fläche tatsächlich Post-Quantum-Kryptografie ausrollt. Apple hat da in iMessage mal was announced, aber ich bin mir gar nicht sicher, ob sie das jemals deployed haben.
Und das ist natürlich also total spannend und fortschrittlich, was Signal da Engineering-mäßig macht. Das wäre natürlich aber, wenn man jetzt irgendwie sich die perfekte Welt wünscht, wäre es natürlich schön, wenn man das, was SQL getan hat, auch nochmal in dezentral hinbekommt und bei Beibehaltung der wirklich guten Benutzbarkeit.
Denn wir sehen ja, ich hatte zwar gerade gesagt, es ist ungewöhnlich, dass so ein System wie AWS ausfällt und man fragt sich natürlich im Nachhinein auch so ein bisschen, wie konnte das überhaupt passieren? Also AWS betreibt die Sachen ja hoffentlich doch auch redundant. In dem Fall schien das nicht der Fall gewesen zu sein an ein paar Stellen.
Natürlich ist natürlich aber ein dezentrales System, wo ich auch mal selbst Infrastruktur betreiben kann, auch aus so einer Organisations- und Governance-Perspektive total interessant, weil dann plötzlich eben nicht mehr nur die eine Signal Foundation da ist, sondern verschiedene Organisationen da sind, die gemeinsam so eine Infrastruktur betreiben und ich damit natürlich auch nochmal Abhängigkeiten von einem zentralen
Akteur letztendlich reduzieren kann, was in zentralen Systemen schwer möglich ist. Insofern, das wäre total interessant und vielleicht kommt das ja auch noch in den nächsten Jahren bei Mastodon, hat es geklappt. Und Kommunikation Ende-zu-Ende-Verschluss mit Messaging ist natürlich nochmal eine Ebene komplexer vom Engineering-Aufwand her.
Was ich übrigens interessant finde bei dem AWS-Ausfall, ich mache meine Backups auf Glacier, also in diesem Backup-Storage, den man nicht so leicht wieder zurückbekommt, sondern der eher auf preisschonend, Geldbeutel schonend ausgelegt ist. Und da habe ich überhaupt keine Einträge bei mir in den Logs, dass da irgendwie ein Outage war oder ähnliches. Vielen Dank.
Ich würde übrigens gerne das, was Marco eben erzählt hat, dass Signal eben sehr viel Aufwand da reinsteckt, dieses Miteinander zu vereinen, das Zentrale, aber so zu machen, dass es irgendwie in Datenschutz kompatibel ist. Es gibt nämlich einen zentralen Kritikpunkt immer schon an Signal und einen weiteren, dass sie sich sehr stark auf die Google Frameworks verlassen. Also, dass sie eben in Google Play sind und nicht in diesem F-Droid App Store.
Und da sagen sie eben, dass die Sicherheitsarchitektur für die nicht technikaffinen Leute so aber viel besser funktioniert und sie die Leute eben sicherer machen. Und ein anderer Aspekt dieser Google Frameworks ist diese Push-Benachrichtigung. Wenn ich einen echt dezentralen Messenger baue für Android und da habe ich einige getestet, dann saugen die gerne mal den Akku leer und verbrauchen sehr viel Daten.
Und das kann sehr schnell gehen und das geht einfach nicht, wenn ich einen massentauglichen Messenger machen möchte. Das heißt, ich muss mich auf diese Push-Benachrichtigung, also diese Push-Frameworks von Signal verlassen. Und da kam es, letztes Jahr gab es eine sehr schöne Meldung, vorletztes Jahr, also Ende vorletzten Jahres, da haben die bekannt gegeben bei Signal.
Dass sie diese Push-Nachrichten zwar nutzen, aber im Grunde nur, um das Smartphone zu aktivieren und dass sie darüber keinerlei Meta-Informationen liefern. Denn diese Push-Informationen, die könnten theoretisch an einem zentralen Punkt bei Google abgreifbar machen, wer wen kontaktiert. Und das ist für Geheimdienste eine sehr interessante Information.
Und genau das macht Signal nicht, sondern nur der zentrale Signal-Server, also hier arbeiten sie zentral, gibt dem Handy, das benachrichtigt werden soll, über eine Push-Nachricht Bescheid, dann wacht das auf und holt sich dann praktisch erst die Nachricht. Das heißt, da haben sie sehr viel Aufwand investiert und sind sehr viel besser als andere Messenger, dort keine Informationen preiszugeben. Das Vertrauen, das man ins Signal setzt, dem werden Sie bis jetzt auf jeden Fall gerecht.
Grundsätzlich sind wir halt immer noch bei dem Thema dann Verfügbarkeit. Wie stelle ich das dann sicher? Weil jetzt gestern, das Malte, hast du mit ins Spiel gebracht vorher noch, dass Office 365 auch mal kurzfristig Services nicht mehr online hatte oder nicht zur Verfügung hatte. Und da stellt sich halt die Frage, auch den Grundschutz, was du vorhin erwähnt, Verfügbarkeit, Vertraulichkeit, Integrität.
Vertraulichkeit hätte man hier sehr stark gegeben. Verfügbarkeit, jetzt war eine Ausfall, ich glaube, das muss man auch noch mal relativieren, aber dann doch schon sehr sensibel und fragil, wenn so ein Core-Service wegfliegt.
Ja, würde ich gerne auch direkt darauf antworten, denn ich muss sagen, ich gehöre nicht zu denen, die sagen, nur weil es halt jetzt nicht Microsoft, weil es eben eher Microsoft 350 als Microsoft 365 ist, heißt das nicht, dass On-Premise-Lösungen automatisch besser werden. Gerade wenn man im kommunalen Bereich unterwegs ist, da hat man vielleicht nicht fünf Admins im Rechenzentrum, sondern vielleicht irgendwo einen Server und eine halbe Stelle, die sich dann darum kümmert.
Da kann man jetzt nicht dafür sorgen, dass diese Anwendungen, die man betreibt, hochsicher und ausfallsicher zur Verfügung stehen. Das heißt, da ist so eine zentrale Cloud im Durchschnitt eigentlich besser. Das Problem, was ich gesehen habe und ich denke, was auch viele andere gesehen haben, ist das Souveränitätsproblem, was ja auch der Thorsten wieder angesprochen hat.
Dass es gar nicht darum geht, dass es technisch schlechter ist, weil die Störungen sind, wie gesagt, im Durchschnitt wahrscheinlich weniger, sondern dass jemand mutwillig diese Abhängigkeit von zentralen amerikanischen Cloud-Dienstleistern nutzen könnte, um Druck auszuüben. In dem man sagt, ja, es geht jetzt nicht um eine technische Störung, sondern ich schalte euch das jetzt mutwillig ab, wenn ihr nicht spurt. Also dass da die Souveränität nicht mehr vorhanden ist.
Weil man nicht mehr als Staat souverän entscheiden kann, sondern dort große Abhängigkeiten aufgebaut hat.
Ja gut, das ist ja ein Thema, was sich die ganze Zeit durchzieht. Du hast noch ein Thema mitgebracht, Andreas.
Ja, und zwar ist die Frage, wer von euch war denn auf der ITSA bzw. War Tag vorher schon auf der ISB-Jahrestagung?
Jahrestagung habe ich mitgenommen. Ja, Jahrestagung der Informationssicherheitsbeauftragten von Bund und Länder war ich dieses Mal tatsächlich, ja, mal beruflich vor Ort und habe ein Vorhaben vorgestellt, das wir gerade für das Föderale IT-Architektur-Board durchführen. Es geht um die Ende-zu-Ende verschlüsselte Kommunikation zwischen Privatpersonen und Verwaltung und basierend auf dem Matrix-Kommunikationsprotokoll, dem Matrix-Standard.
Und das ist halt ein Thema natürlich, was auch die Informationssicherheitsbeauftragten total interessiert hat, weil wir wirklich mal dahin kommen und einen Ende-zu-Ende verschlüsselten Kanal herstellen zwischen Privatpersonen und Verwaltung, der auch auf beiden Seiten abgesichert sein soll.
Also A, die Verwaltungen weisen sich gegenüber den Privatpersonen aus und die Privatpersonen weisen sich gegenüber den Verwaltungen aus und das natürlich rein für so einen klassischen Postfach-Use-Case, wo ich irgendwie nach der Antragstellung noch weiter mit der Privatperson kommunizieren kann, total interessant.
Aber als Grundlagentechnologie natürlich auch für ganz viele andere Use-Cases total interessant ist dieses Grundkonstrukt von Ende zu Ende verschlüsselter Kanal mit Autorisierung auf beiden Seiten und damit ein authentisierter Kanal, den ich für beliebige Zwecke nutzen kann, zwischen beliebigen Instanzen, zwischen verschiedenen Organisationen oder zwischen Privatpersonen und Organisationen. Das ist einfach eine sehr schöne Grundlagentechnologie.
Und unter anderem darüber habe ich mal auf der Jahrestagung gesprochen und auch mal Jens Lange vom kommunalen Notbetrieb, Grüße an der Stelle, mal in Persona gesehen.
Genau, Jens Lange betreibt ja diese Webseite kommunaler Notbetrieb und listet dort alle öffentlichen Sicherheitsvorfälle in Kommunen und das sind auch erstaunlich viele und ein wahnsinniger Aufwand, der da hinten dran steckt, diese ganzen Informationen zusammenzutragen, aber auch wahnsinnig wertvoll natürlich, wahrscheinlich insbesondere auch für die Forschung, aber auch für unser eigenes Bewusstsein dafür, wie wichtig IT-Sicherheit gerade auch im kommunalen Umfeld ist.
Ja, die Sensibilisierung ist wichtig, dass wir hier auch vorankommen, um den Mehrwert herausstellen zu können und auch den sicheren Umgang zu bekommen, um nicht fahrlässig irgendwelche Links zu klicken, die Happy Clicker, wie sie ja heißen, dass wir das auch verhindern können. Und da müssen wir einfach viel mehr in dem Thema Sensibilisierung auch tun. Hast du mit dem Grundschutz Plus Plus, bist du da auch schon in Berührung gekommen? Was war da Thema?
Das wurde auch kurz vorgestellt. Genau, ist natürlich auch ein Thema, was gerade die Welt der Informationssicherheitsbeauftragten viel beschäftigt.
Nachdem wir jetzt in den letzten Jahren immer wieder sehr, also Grundschutz in verschiedenen Iterationen hatten, immer aber als PDF-Dokumente und sehr, sagen wir mal, starr, was die Struktur angeht, ist das BSI jetzt den Schritt gegangen und hat versucht oder ist gerade dabei, das zu modularisieren, auch mit verschiedenen Beteiligungen von Arbeitsgruppen, wo auch einfach BSI-Externe irgendwie aus Ländern und Kommunen mit draufschauen. Das Ganze ist auch öffentlich auf der GitHub-Seite des BSI.
Und das, was wir seit Jahren immer wieder gefordert haben, nämlich auch mal diese ganzen Grundschutzdokumente nicht nur als PDF bereitzustellen, sondern eben auch in anderen Formaten, die vielleicht auch maschinenlesbar sind, genau das hat das BSI mit Grundschutz++ vor und stellt diese ganzen neuen Grundschutzelemente dann eben auf der GitHub-Seite des BSI bereit.
Ja, ich wäre dieses Jahr auch auf der ITSA gewesen, aber ich war vorher auf der SCON und deswegen krank und musste leider die ITSA ausfallen lassen.
Ich hoffe, dass ich es im nächsten Jahr schaffe, weil das ist echt eine coole Veranstaltung, coole Messe und Teile, also manche Aussteller, die auf der ITSA sind, sind tatsächlich auch auf der SCON gewesen, und da war auch auf der SCON immer viel los in diesem IT-Sicherheitsbereich und deswegen finde ich sehr interessant, auch mal die ITSAs von Ihnen zu sehen.
Gibt es von der ITSA noch so Top-3-Themen, die diesmal präsent waren?
Da ich nicht da war, kann ich nichts sagen. Vielleicht der Marco.
Nein, aber der Marco war da.
Ich bin natürlich mal durch die Messehallen der ITSA gelaufen, aber ich hatte nicht viel Zeit, um mir viel anzuschauen. Es war natürlich sehr, also es war ganz spannend, weil ich auch das erste Mal auf der ITSA in Präsenz war. Und ja, natürlich die klassischen Cyber-Aufsteller überall. und natürlich auch viel Marketing, die üblichen Verdächtigen an Herstellern, die man dort findet. Mir haben so ein bisschen die Socializing-Ecken gefehlt. Also es war ein bisschen anders als auf der Scon.
Gab es halt auch, zwar auch große Messehallen, aber also so gefühlt, vielleicht lag es auch einfach daran, dass ich nicht lang genug da war, war es sehr standlastig und an den meisten Ständen, habe ich so vorgenommen, sind viele Leute einfach nur vorbeigelaufen. Das hat so ein bisschen, die Gänge waren wahrscheinlich zu schmal, um mehr stehen zu bleiben und sich mehr zu unterhalten, hatte ich so den Eindruck. Der Stand von BSI war sehr offen gestaltet, das war ganz schön.
Wir hatten einen echt riesigen großen Stand mit diversen Themen und Ansprechpersonen an den ganzen verschiedenen Stellen des Standes. Fand ich ganz gut gemacht, aber insgesamt die Socializing-Ecke hatte ich so ein bisschen vermisst.
Was waren deine Highlights, Andreas?
Ich war ja leider auch nicht, deswegen hätte ich jetzt gehofft, dass die Kollegen was sagen können.
Vorher?
Eigentlich war nur dieses Jahr auf der Kommunale. Die ITSA habe ich leider ausfahren lassen, auch an dem Jahrestag vorher. Deswegen hat mich das von der Grundschutz++-Frage jetzt sehr interessiert, was da Thema ist, weil das ja auch letztes Jahr auf der ISB-Jahrestagung schon der Fall war und das ja immer wieder vom BSI mit angekündigt wird.
Wir stellen um vom IT-Grundschutz auf Grundschutz++ und für uns natürlich schon die Frage ist, bleiben wir im Grundschutz, gehen wir jetzt schon auf Plus++ und deswegen hat mich hier die Einschätzung von Marco noch interessiert, was vor Ort wirklich gesprochen wurde und was man vielleicht auch in den Gesprächen rauszieht.
Also ich glaube, es ist noch so ein bisschen durchgewachsen. Also natürlich Grundschutz-Plus-Plus kommt, aber ich habe noch keine so starke Aufbruchstimmung gehört im Sinne von, wir machen das jetzt alle.
Und ich glaube, es liegt auch ein bisschen daran, dass natürlich durch diese maschinenlesbare Repräsentation jetzt auch noch ein bisschen das Tooling fehlt und die ganzen Hersteller natürlich jetzt auch gerade erst dabei sind, die neue Grundschutz-Plus-Plus-Struktur in ihre SMS-Tools etc. zu integrieren. Und ja, dann kann ich natürlich viel besser damit arbeiten, wenn ich einfach nur einen riesen JSON-File habe, für das ich mir dann selbst irgendwie Tooling schreiben muss.
Das ist natürlich irgendwie, also toolmäßig einfacher, wenn ich einfach nur irgendwie Office-Dokumente habe und da irgendwie Grundschutz-Dokumente, also Dinge pflege. Aber hat natürlich, also wir wissen alle, die Office-Dokumente, die die Grundschutz-Bausteine dokumentieren, die liegen dann auch mal länger in Schubladen.
Insofern, ja, ich bin mal gespannt, wie gut das klappt und wie gut die Tools werden und wie gut wir auch dann dahin kommen, automatisiert solche Einhaltung von Grundschutzvorgaben auch zu automatisieren und zu monitoren, Organisation und so weiter. Da ist natürlich ein riesiges Potenzial dahinter und ja, bleibt zu hoffen, dass der Grundschutz Plus Plus dieses Versprechen erfüllt. Aber ich glaube, der Beweis muss noch in der Praxis angetreten werden.
Ich habe gerade mit Erschrecken gesehen, dass wir schon bei fast einer Stunde Sendung sind und Malte und Marco waren noch gar nicht dran. Deswegen gebe ich jetzt mal direkt weiter an Malte.
Danke. Ich werde versuchen, mich kurz zu fassen. Wir sind ja heute auch nur zu dritt, nur sage ich, weil der Peter heute fehlt.
Ich bin auch dabei, wir sind vier.
Ja, mit dem Moderator, aber wir sind drei Gäste. Und der Peter grüßt schön und hat ein Service-Thema mir übergeben, denn es gab die Zeitenwende. Vom 25. auf den 26. Oktober wurden die Uhren von 3 auf 2 Uhr zurückgestellt. und jetzt ist nach der Zeitenwende Winterzeit. Ja, und außerdem hat er mich nochmal daran erinnert, habe ich gerade gesehen, dass die elektronische Patientenakte EPA für die Krankenhäuser, für die Arztpraxen und Apotheken am 1. Oktober verpflichtend geworden ist.
Und das ist eigentlich auch ein Riesenthema. Ja, und dann werde ich mal schnell weitermachen. Es wird ein Gesetz geben und zwar hat das Gesundheitsministerium einen Referentenentwurf vorgelegt zu einem Register der Medizinregister in gewisser Weise. Also ein zentrales Zentrum für die Medizinregister. Das soll beim Bundesinstitut für Arzneimittel und Medizinprodukte gepflegt werden und das soll ca. 350 Medizinregister führen und koordinieren.
Das klingt irgendwie so ein bisschen wie Registermodernisierung, das ist aber beim BMI und da hatte ich mich ja schon ein paar Mal zu geäußert, dass ich es mir wirklich wünschen würde, wenn wir sektorübergreifend da mehr koordinieren würden, denn ich denke, vielleicht sind doch so einige Sachen, die wir bei der Registermodernisierung gelernt haben, die ja auch schon eine Weile läuft. Bestimmt anwendbar auf eben so eine Registermodernisierung bei den Medizinregistern.
Aber wir werden sehen, wie das parallel weiterläuft oder sich vielleicht doch gegenseitig ein wenig befruchten kann. Worum geht es bei diesem zentralen Medizinregister? Also darum natürlich die Register irgendwo bei der Registerpotenisierung auch sonst, die so ein bisschen kompatibel miteinander zu machen, die Qualität zu erhöhen. Ja, was gibt es da so Implantatregister oder das Krebsregister? Und interessant ist natürlich für die Forschung auch so eine Verknüpfung.
Also wenn Personen zum Beispiel in beiden sind, dass man dann die auch erfassen kann und daran forschen kann. Das ist sicherlich auch ein Datenschutzthema, aber umgekehrt ja auch ein Datenschutzthema, weil dann brauche ich im Zweifel auch nur einmal zu widersprechen oder eben auch nur einmal zuzustimmen und muss mich nicht in jedem Register einzeln darum kümmern. Genau, und dann kann darin geforscht werden, weswegen das ja auch im Grunde irgendwo ein Open-Data-Thema ist.
Und da habe ich gleich ein zweites Open-Data-Thema mitgebracht, nämlich von dem Europäischen Pendant zum genannten Bundesinstitut für Arzneimittel und Medizinprodukte, nämlich der Europäischen Arzneimittelagentur. Die hat eine Karte veröffentlicht, auf der sie die medizinischen Studien, die durchgeführt werden.
Veröffentlichen und diese haben sie jetzt aktualisiert und in alle Sprachen übersetzt, in alle europäischen Sprachen und damit kann man sich anschauen, wo überall eben klinische Studien stattfinden. Und dann habe ich heute auch nochmal für den Dreiklang ein drittes Open Data Thema mitgebracht. Ebenfalls ein Gesetzesentwurf, nicht nur ein Referentenentwurf, sondern gleich schon ein vollständiger Gesetzesentwurf zu Verkehrsdaten.
Das kennt ihr vielleicht schon, diese Bahn-Apps, die es so gibt, die bedienen sich ja irgendwo bei diesen zentralen Datenbanken, wo sie besser und schneller über die Jahre, das ist ja auch schon, glaube ich, zehn Jahre inzwischen mindestens alt, dass die irgendwo zur Verfügung gestellt werden und die Daten werden immer besser und besser. Dadurch kann man viel aktueller sehen, wo jetzt die Züge sind. Ja, und das im Straßenwesen hat das wahrscheinlich noch nicht so gut geklappt.
Also ich weiß nicht, wie ihr das seht, Torsten, Marco oder Andreas, dass wenn man so Auto fährt, manchmal ist es nicht so, dass eine Baustelle, die eigentlich schon ein paar Wochen da ist und irgendwo vielleicht sogar eine Straße gesperrt ist, dass die in den Navigations-Apps drin ist. Also manchmal wird man da trotzdem durchgeführt.
Das soll eben ein Ende haben und es sollen alle Straßenwesensorganisationen dazu verpflichtet werden, ihre Daten in Echtzeit einzuspeisen, damit dann die Anbieter von Navigations-Apps genau wissen, wo gibt es irgendwo Behinderungen. Und dafür eben so eine zentrale Plattform zur Verfügung stellen. Echtzeitinformationen über ÖPNV, Baustellen und Ladeinfrastruktur für solche Autos. Auch da, darüber hatten wir glaube ich schon beim vorletzten Mal drüber gesprochen.
Zum Beispiel, dass es bei Ladesäulen manchmal Leute gibt, die da diese kaputt machen und Kabel durchschneiden und diese Kabel klauen. Genau. Wenn ich die Informationen darüber in Echtzeit auf einer zentralen Plattform zur Verfügung habe, dann weiß ich zumindest als Elektrofahrer, da brauche ich jetzt nicht hinfahren, da sind gerade die Kabel kaputt.
Die Informationen gibt es theoretisch zu jeder Säule. Man muss halt die richtige App haben. Und es gibt tatsächlich auch einen Standard, der das meldet. Wird auch tatsächlich von fast allen Apps auch genutzt und wird auch von fast allen Ladesäulenbetreibern implementiert und angeboten. Also es gibt inzwischen ganz, ganz wenige Säulen, wo man nicht weiß, was deren Status ist.
Trotzdem musst du in die Ladesäulen-App gucken. In diesem Fall ist es so, dass sie jetzt das über eine zentrale Datenbank regeln wollen, wo eben sogar die Navi, also wo wirklich die Navi-Anbieter sich daraus bedienen und das dann als Zusatzinformationen ihre Navigationsgeräte einbauen können.
Aber die Lade-Apps bedienen sich ja auch aus so einer Zentrale oder aus mehreren Quellen quasi und die hätten halt den Vorteil, die müssen nur noch eine API ansprechen und nicht mehr viele.
Ich vermute, da gibt es wahrscheinlich auch diverse Bezahlschranken. Ich weiß es nicht, aber ich kann mir gut vorstellen, dass da auch einige Hersteller oder Dienstleister auch ein gut geltend verdienen, diese Informationen dann wiederum an die Navi-Hersteller und an die Betreiber von den anderen, von den Ladesäulen-Infrastrukturen wieder zurück zu verkaufen, solche Geschichten, wie wir es öfters kennen, wenn irgendwie Daten irgendwo zusammen aggregiert werden.
Was noch viel wichtiger wäre in dem Zusammenhang, dass die Ladesäulen den Preis bekannt geben vom Strom, den man da bezahlt. Das wäre mal sehr schön, aber der Preis ist ja tatsächlich immer ein anderer, je nachdem, mit welcher Ladekarte ich komme. Und das finde ich furchtbar.
Ich habe jetzt nicht in den Gesetzentwurf im Detail reingeschaut, aber der ist ja verlinkt. Vielleicht steht das sogar drin, dass sie dann auch die Preise veröffentlichen müssen.
Ich finde ja ganz spannend.
Interessant.
Weiß nicht, Malte, weißt du, ob da auch Unfallinformationen drin sein, also so live Unfallinformationen drin abgebildet werden müssen können, sollen? Ja.
Genau das.
Cool. Spannend, weil das ist ja auch sozusagen, das kennen wir irgendwie aus den großen, ne, aus Google Maps, Apple Maps und, ne, also die großen Anbieter haben das, aber das natürlich regelmäßig gerade für kleinere Kartendiensteanbieter, ne, oder irgendwie, wenn ich irgendwie mal an offene Lösungen denke, die haben natürlich diese ganzen, diese Datengrundlage einfach nicht und das wäre total spannend, da auch die Schnittstellen mal zu öffnen und die großen
Anbieter zu verpflichten, diese Daten, die dann eben über solche Apps gesammelt werden, auch allen zur Verfügung zu stellen. Das ja wirklich auch rettet potenziell Leben.
Ja, Google und Apple, die machen das ja mit ihren eigenen Geräten. Also die messen ja quasi die Bewegung ihrer eigenen Geräte.
Ich glaube nicht, dass die Navigationsanbieter dazu verpflichtet werden. Umgekehrt, die Daten, die sie dadurch sammeln, dass ganz viele Leute das nutzen, diese wieder zur Verfügung stellen müssen. Kann ich mir für ein deutsches Gesetz nicht vorstellen, wäre vielleicht mal eine Sache für die Kommission. Gute Idee, ja. Ja, dann habe ich noch was zum digitalen Euro und zwar wird von der Europäischen Zentralbank EZB die Einführung des digitalen Euros für 2029 eingeplant.
Haben mitgeteilt, dass sie in die nächste Phase eintreten, und zwar die Gesetzgebungsphase für das kommende Jahr 2026. Wenn die Gesetzgebungsphase, also die politische Ebene, abgearbeitet ist, dann sollen ab 2027 die Pilotprojekte starten, damit der digitale Euro 2029 an den Start gehen kann.
Digitale Euro würde mich interessieren. Weißt du zufällig, was dazu, wie es da um die Technik steht? Gibt es da schon Gedanken, Entwürfe etc.
Dazu? Weil ich schiele dann natürlich immer sehr direkt auf das Gnud-Taler-Projekt oder NGI-Taler, was ja auch EU-finanziert ist oder zu einem Teil zumindest mit auch von der Europäischen Kommission über die NGI-Initiative finanziert wird und ein total spannendes Zahlungssystem oder Zahlsystem definiert, mit dem ich anonym zahlen kann, aber trotzdem noch die Taxibility nennen sie das.
Also Nachvollziehbarkeit von, wohin fließt das Geld haben für die Verkäufer oder Merchants in der Thaler-Sprache.
Ja, also die Technik und auch die Funktionen, das ist immer noch so ein bisschen in Entwicklung. Da hatten sie aber schon diverse Phasen, wo sie dazu Eingaben hatten. Das Potenzial ist tatsächlich, so wie du es eben beschrieben hast und in anderen Anwendungen schon gemacht wird, meiner Meinung nach sehr groß, so für automatisierte Zahlungssysteme zum Beispiel. Also da ließe sich viel automatisieren.
Also ich bin mal gespannt. Ich würde es doch schon, also ich fände es schon schade, wenn es nicht brutaler wird, weil es gibt wenige Zahlungssysteme und das ist eben ein tatsächlich sehr offenes Zahlungssystem mit Standard hinten dran und offenen Implementierungen hinten dran, was wirklich die Chance hat, so einen Markt reinzukommen und den auch tatsächlich zu übernehmen, wenn man eben über so einen Weg wie einen digitalen Euro da in den Markt reingredet wird.
Das braucht Marktdisruption, wenn man in diesen Zahlungsverkehrsmarkt irgendwie rein will und wenn wir ein bisschen weniger abhängig werden wollen von ein, zwei ganz großen Anbietern, die de facto den gesamten europäischen Zahlungsverkehr aktuell kontrollieren.
Also wenn ich das richtig verstanden habe mit dem digitalen Euro, ist das eigentlich nur eine fancy Sofortüberweisung, also Echtzeitüberweisung. Vielleicht hat sich das inzwischen geändert, aber als ich das letzte Mal mich damit genauer beschäftigt habe, war es genauso.
Also der Du, Thorsten, packst ja den Link dazu in die Shownotes zu dieser Veröffentlichung und in dieser Pressemitteilung von der EZB ist eine Ausarbeitung des Entwurfs eines Regelwerks für den digitalen Euro dabei, auch noch eine Auswahl der Anbieter und für die Komponenten des digitalen Euros und die damit verbundene Dienste. Insofern wird da sehr viel Neues zur Verfügung gestellt, da könnt ihr auch nochmal reinschauen.
Und wo wir gerade bei den Basisdiensten sind, das eine war jetzt Payment, kommen wir zur Identifikation. Und zwar hat das Digitalministerium bekannt gegeben, zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden eine praxisnahe Propungsinitiative zu starten. Und zwar sollen Anwendungsfälle aus der Praxis in der EUDI-Wallet getestet werden, damit man da auch gut mit starten kann. Und zwar wird einmal der Dresden-Pass getestet in der EUDI-Wallet.
Und zwar ist der für Bürger mit Kring-Einkommen, um Zugang für diese zu schaffen zur ÖPNV, Kultur und Bildung. Und die sächsische Ehrenamtskarte für Engagierte, dass die Zugang zu Vergünstigungen haben. Und ja, das finde ich eine tolle Sache. Vor allen Dingen diese UDI Wallet, also einen solchen Basisdienst zentral zur Verfügung zu stellen, bietet für die Digitalisierung ganz, ganz viele Optionen. Das ist ja auch immer wieder ein Lieblingsthema vom Thorsten, zusammen mit Payment.
Das sind ja die großen, ganz großen Basisdienste, die ganz wichtig sind.
Und es soll auch richtig schnell gehen. Also der Bund schreibt ja in der Pressemitteilung selbst, dass schon im November, in der November-Sitzung, das IT-Planusrat das erste Zwischenergebnis vorgelegt werden sollen. Ich bin mal gespannt, was wir in der nächsten Ausgabe dieser Sendung vielleicht schon berichten können.
Also ich mache wieder eine Sendung mit dem IT-Planungsrat und da kann ich direkt nochmal nachfragen.
Und ganz zum Schluss habe ich auch nochmal ein Thema mitgebracht, auf das mich der Peter gestoßen hat. Und zwar hat am 2. Oktober der Nationale Normenkontrollrat seinen Jahresbericht 2025 dem Digitalminister übergeben. und dort auf jeden Fall meiner Meinung nach viel Positives reingeschrieben. Und zwar kann alleine der Bauturbo, das ist übrigens mal ein Thema aus meinem Ressort, die Verwaltung und Wirtschaft um 2,5 Milliarden Euro pro Jahr entlasten.
Und für den Berichtszeitraum Juli 2024 bis Juni 2025 ist der jährliche Erfüllungsaufwand erstmals seit Jahren deutlich gesunken, um 3,2 Milliarden Euro, zum Teil für die öffentliche Verwaltung, zum Teil für die Wirtschaft und auch zum Teil für die Bürgerinnen und Bürger, wobei die mit 500 Millionen Euro die geringste Entlastung hatten.
Das heißt aber nicht, dass man jetzt die Hände in den Schoß legen könnte, denn der Gesamtbelastungsaufwand, der bleibt mit 64 Milliarden Euro Bürokratie-Kosten jährlich immer noch sehr, sehr hoch und hat sich auch über einen längeren Zeitraum, nämlich seit 2011, doch ziemlich stark erhöht, um 16,8 Milliarden. Und es stehen ja auch große Projekte wieder an, die die Bürokratie nochmal deutlich erhöhen können, Zum Beispiel die NIST-2-Richtlinie zur Cybersicherheit.
Da gibt es ja auch mal zwei Meinungen zu. Also wenn jetzt der Manuel hier wäre, der würde wahrscheinlich da auch eine andere Meinung vertreten, denn NIST-2 ist ja durchaus auch wichtig für die Cybersicherheit. Aber man muss eben auch immer die Kosten dafür im Blick behalten und dafür haben wir den nationalen Normenkontrollrat. Und damit bin ich mit meinen Themen schon mal durch, beziehungsweise mit meinem und Peters Themen.
Ja, dann kann Marco direkt nahtlos übernehmen mit seinen Themen.
Ja, genau. Erstmal nochmal Werbung. Also Berichte des Normenkontrollrats sind immer lesenswert und im Zweifel die Management Summary, wenn man nicht viel Zeit hat, immer super spannend. Der Normenkontrollrat schafft es immer wirklich sehr komplexe Themen auch dann gebündelt zusammenzufassen. Absolute Leseempfehlung, eigentlich wie bei vielem, was der Normenkontrollrat so schreibt, ist gerade so für ein Überblick immer echt wertvoll.
Genau. Ja, was habe ich mitgebracht? Matrix-Konferenz war gerade. Matrix, der vorhin schon angesprochene offene Kommunikationsstandard, ein offenes Kommunikationsprotokoll, hat dieses Jahr wieder vom 15. bis 18. Oktober in Straßburg, Frankreich stattgefunden. Und ja, die Matrix-Konferenz ist eine Konferenz von der Matrix Foundation ausgerichtet, bei der sich ja so das gesamte Matrix-Ökosystem trifft und über diesen offenen Kommunikationsstandard spricht.
Wir hatten vorhin schon die Thematik Signal und Zentralisierung von Signal und Matrix ist eben genau der Versuch, eben so eine Kommunikationsinfrastruktur dezentral aufzubauen mit verschiedenen Servern, die alle miteinander kommunizieren. Das ist natürlich ein komplexes Protokoll, ein komplexer Standard und genau dazu gab es unfassbar viele Vorträge wieder auf der Matrix-Konferenz. Die gibt es auch alle wieder zum Nachschauen auf mediaccc.de.
Link sicherlich auch wieder in den Shownotes und es gab einfach wahnsinnig viele Vorträge und das fand ich ganz spannend von verschiedensten Verwaltungen aus ganz Europa. Also Schweden war mit dabei, Frankreich hat die eigene Matrix-Föderation, das eigene Deployment vorgestellt, Luxemburg war da, die haben eben auch eine eigene Kommunikationsanwendung basierend auf Matrix.
Auch die Gematik war direkt mit zwei Vorträgen da und hat eben über den öffentlichen Gesundheitsdienst in Deutschland gesprochen und wie sie dort eben mit Matrix eine sichere Kommunikationsinfrastruktur aufbauen. Und die BWI, also der Dienstleister der Bundeswehr, hat über den BW-Messenger bzw. den Bundes-Messenger gesprochen.
Und auch zwei Kolleginnen von mir waren da, Dominik und Network Exception, und haben eben aus Sicht oder über Projekte des IT-Planungsrates eben und der Beteiligung der FITGO gesprochen. Einerseits die Zielarchitektur, Postfach- und Kommunikationslösung, wo wir uns gerade so ein bisschen anschauen, was gibt es denn da in der föderalen Welt so an verschiedenen Kommunikationsdiensten, Postfachlösungen.
Und braucht es dann wirklich so viele und so viele verschiedene, unterschiedliche, die alle irgendwie dasselbe tun letztendlich und das andere Vorhaben eben, wo wir ganz konkret die Kommunikation zwischen Privatpersonen und Verwaltung auf diesem Ende zu Ende verschlüsselten Kanal mal ganz konkret in der Praxis pilotieren? Genau, auch die EU-Kommission und die Vereinten Nationen waren da und haben eben über Matrix und eigenständig betriebene, souveräne Kommunikationsinfrastrukturen gesprochen.
Also man merkt tatsächlich immer mehr, so habe ich die letzten Jahre total stark beobachten können, wie sehr einfach auch so das Interesse auch von Regierungsorganisationen für so einen Standard zunimmt, weil es natürlich gerade eben auch für, also gerade in Europa total interessant ist, da eben auch Alternativen zu haben zu den großen Kommunikationslösungen, die typischerweise ja dann doch meistens irgendwie aus Nordamerika stammen.
Genau, es gibt auch einen zusammenfassenden Vortrag von der Matrix Foundation zum Public Sektor allgemein, was sich so im öffentlichen Sektor tut. Also eine ganze Reihe von Vorträgen zum Thema Matrix und diesem Kommunikationsprotokoll. Das ist echt beeindruckend, wie viel da gerade passiert.
Wenn ich ganz kurz ergänzen darf, direkt im Anschluss an die Smart Country Convention war der Berliner Fedi Day, also eine Fediverse-Konferenz. Die war genauso spannend wie die Matrix-Konferenz. Vielleicht ein bisschen anderes Thema, aber auch verteilte Systeme. Da machen wir auch einen Link mit in die Shownotes, weil die haben natürlich Fediverse-Like ihre ganzen Vorträge auf Peertube veröffentlicht.
Ja, sehr cool. Verteiltes YouTube, könnte man sagen, in Freenops-Software implementiert. Ich habe es leider nicht geschafft zur Federalist-Conference. Ich musste leider schon wieder zurück, sonst wäre ich gerne am Tag geblieben.
Ich leider auch nicht, deswegen habe ich mir ein, zwei Talks angeschaut.
Ja, ich muss auch nochmal in die Aufzeichnung reinschauen. Genau.
Ganz spannend finde ich übrigens, dass die UN sich sogar beteiligt hat. Die UN traditionell hat als Unterorganisation die ITU, International Telecommunications Union. Und das sind die großen Telcos, die sie unter sich haben. Und die großen Telcos stehen ja eher so für zentralisierte Systeme, die sie ja anbieten. So die LTE und SMS und RCS Messaging Standards. Dass die sich plötzlich für dezentrale Systeme interessieren, finde ich spannend.
Und so ganz zentralisiert sind sie natürlich nicht. Also innerhalb der eigenen Telcos schon, aber die Telcos wollen ja auch miteinander kommunizieren. Also andersrum könnte man sagen, dass das Telefonnetz oder auch irgendwie SMS, RCS sind so die am weitesten verbreitetsten Systeme, wo ich eben zwischen den Diensten von verschiedenen Anbietern kommunizieren kann. Ich kann mit einem Telekom-Vertrag genauso gut auch die Vodafone-Telefoniker-KundInnen irgendwie erreichen und andersrum.
Und das ist gelebte Interoperabilität, so wie das Internet mal gedacht war. Natürlich ist die Zentralisierung sozusagen so viele, also es gibt irgendwie drei Telefonnetze in Europa und das war es dann. Ist natürlich überschaubar, aber so von der Technologie her gar nicht so weit weg. Also finde ich ganz spannend, dass diese Organisationen auch mehr und mehr sich für diese Art von Standards interessieren.
Und auch die EU-Kommission mit dem Digital Markets Act, die versucht ja auch dahin zu kommen, dass wir eben wegkommen von den großen Kommunikations-Silos von WhatsApp. Telegram und wie sie alle heißen, hin zu einem interoperablen Markt, wo eben ich auch mit meinem WhatsApp-Account mit den Nutzenden anderer Dienste kommunizieren kann. Meta tut da sehr viel dagegen mit sehr, sehr langen Verträgen.
Ich glaube, es sind 200, 300 Seiten RGBs, die ich unterschreiben muss und auch noch ein paar Euros, die ich da hinlegen muss, um grundsätzlich teilnehmen zu dürfen. Die sind natürlich so mittelinteressierter dran, dass das gut funktioniert, dass ich Interpretät mit WhatsApp habe. Aber die EU-Kommission ist da
sehr hinterher. Also es ist ein bisschen Katze-und-Maus-Spiel natürlich, aber das Interesse ist seitens Kommissionen total da und das dürfte auch noch spannend werden die nächsten Jahre, wie da sich so das Machtverhältnis zwischen Kommission und großer Tech-Konzerne, wo sich das einpendeln wird.
Dass WhatsApp das auf gar keinen Fall zulassen darf, liegt ja auf der Hand. Also deren Wert liegt ja darin, dass sie eben ganz viele Leute haben, die WhatsApp haben. Und wenn ich nicht mehr WhatsApp installieren muss, um mit diesen ganzen Leuten zu sprechen, dann würde das schon stark den Wert von WhatsApp schränken. Thorsten guckt schon ganz kritisch. Nein, ich werde jetzt nicht das Wort sagen.
Was ich aber sagen wollte ist, ganz interessant ist, dass Signal sich da auch so ein bisschen kritisch zu geäußert hat zu dieser Unteroperabilität. Das fand ich überraschend.
Aber aus ganz anderen Gründen. Die haben Angst, dass ihre Verschüsselung dadurch aufgeweicht wird. Das war der Hintergrund, warum sie Signal und auch übrigens Streamer genau das gleiche sich da geäußert hat.
Also das ist natürlich ein Argument, was ich auch total nachvollziehen kann. Also Signal ist die Organisation, die halt irgendwie oder der Messenger, der so die fortgeschrittenste Kryptografie hat. Wir haben es vorhin schon angesprochen, Post-Quantum-Kryptografie in Signal gibt es jetzt.
Und die haben natürlich total Schiss, dann eben auch das Ökosystem, das Signal-Ökosystem von außen zu öffnen zu müssen und dann eben auch unsichere Kanäle, als in Signal so möglich sind, da reinzulassen und damit die Nutzenden zu, ja, letztendlich zu irritieren. Gleichwohl, also Digital Markets Act sieht ja vor, dass eben auch Verschlüsselung an der Stelle nicht geschwächt werden darf. Und das ist natürlich dann aber die Frage in der Praxis, wie sehr kriegt man
das auch umgesetzt. Und ja, aber das Signal fällt noch nicht unter den digitalen Marketschirm an der Stelle. Das betrifft nur die großen Gatekeeper, in dem Fall ganz konkret Meta und ich weiß gar nicht, noch irgendwer, glaube ich.
Wahrscheinlich Apple mit iMessage.
Es wird wahrscheinlich Apple sein. Also genau, Signal ist noch in Anführungsstrichen zu klein, obwohl es natürlich ein riesiger Dienst ist. Aber die Schwelle ist eben noch nicht so weit abgesenkt. Das wird bestimmt auch nochmal spannend, wenn diese Diskussionen geführt werden.
Und an der Stelle braucht es natürlich aber eben auch die technischen Grundlagen dafür, weil das Signalprotokoll ja auch Stand jetzt nicht dafür gedacht ist, eben dann auch hatten wir vorhin schon zu föderieren und mit anderen Systemen sich auszutauschen und insbesondere unter Wahrung der End-zu-Ende-Verschlüsselung, die natürlich beibehalten werden sollen.
Ich muss auch sagen, ich bin so ein bisschen, ich habe da so ein, wie soll ich sagen, also ich nehme denen diese Argumentation nicht so hundertprozentig ab, also obwohl ich natürlich Signal vertraue, ich gehöre jetzt nicht zu denen, die nicht vertrauen, die hatten nämlich, und das fand ich übrigens ganz toll, bis letztes Jahr SMS integriert. Das heißt, sie haben zusätzlich zu dem Signal-Protokoll einen total unsicheren Standard integriert gehabt. Also ich konnte mit Signal auch SMS schreiben.
Das ist schon ein bisschen länger her.
Oder bis vorletztes Jahr, aber das war noch lange integriert. Und eben wegen RCS und weil sie eben nicht auf das RCS-Interface zugreifen dürfen, das ist ja auch so eine Sicherheitssache, bei der Google die Hand drauf hält, Unter anderem zusammen mit den großen Telcos, da haben wir gerade darüber gesprochen, also Messaging ist für sich eine ganz eigene, super interessante Welt der Politik, nämlich wie die Messenger da untereinander miteinander konkurrieren und mit dem RCS, also RCS-Standard.
Und ja, also das hatten sie aber lange. Also sie haben praktisch lange unsichere Kommunikation integriert und sie haben das ja dann also im Interface kundig gemacht. Da hat man dann gesehen, okay, das sind unsichere Nachrichten.
Aber nur wenn ich mal unsicher in der Vergangenheit war und jetzt die ganzen alten Zöpfe abschneide, heißt es doch nicht, dass das kritisierenswert ist. Ganz im Gegenteil. Also sonst würden wir nie Fortschritte machen. Aber ich würde jetzt mal sagen, wir gehen zum nächsten Thema bei der Markung.
Ja, ich habe noch ein leider nicht ganz so schönes Thema mitgebracht. Wir bleiben im Bereich Open-Source-Software, nämlich die offene Programmiersprache Python. Da gibt es die Python Software Foundation, die diese Programmiersprache fördert und sich für die Verbreitung der Python-Sprache einsetzt.
Die musste jetzt eine Förderung in Höhe von 1,5 Millionen US-Dollar ablehnen, nämlich eine Förderung der US-Regierung, weil die US-Regierung Druck gemacht hat und in ihren Förderrichtlinien die Einstellung jeglicher Diversitätsbemühungen gefordert hat.
Also wir sehen hier tatsächlich auch, wie das Trump-2-Regime hier ganz krass auch in Förderung von solchen oder bisher häufig geförderten Software-Ökosystemen halt irgendwie reingeht und die Förderung hier an der Stelle mit solchen Maßnahmen verhindert. Das ist echt ein bisschen eine gruselige Sache, wenn ich mir das so anschaue,
weil es natürlich auch ganz viel kaputt macht. Und die Python Software Foundation hat jetzt aufgerufen zu spenden und auch schon einiges an, also als ich das letzte Mal geschaut habe, war es ein sechsstelliger Betrag an Spenden in super kurzer Zeit zusammengesammelt. Wenn ihr zu viel Geld habt, spendet mal der Python Software Foundation, um dieses Planungsdefizit wieder reinzuholen.
Genau. Aber ich denke mal, das wird nicht das letzte Mal gewesen sein, dass wir an der Stelle wahrnehmen werden, wie eben US-Finanzierung, wir hatten es ja auch mit US-Aid schon in anderen Dimensionen, aber auch in der Software-Welt, in der digitalen Welt einfach Infrastrukturen. Und Python ist einfach eine wahnsinnig grundlegende, wichtige Infrastruktur für unser ganzes digitales Ökosystem. wieder eben Finanzierung wegbricht und die US-Regierung solchen Ökosystemen schadet.
Und da stellt sich natürlich auch die Frage, wer springt da ein, die wir vielleicht europäisch, aber auch natürlich global beantworten müssen.
Also ich finde das super stabil von der PSF, also sowas abzulehnen, zu sagen, also unter den Umständen kann ich das Geld von dir nicht annehmen. Und 1,5 Millionen Dollar ist viel, damit hätten die wahrscheinlich das Jahr überstanden. Und ich finde das ziemlich cool, dass sie sagen, unter den Umständen machen wir da nicht mit.
Und also es hätte auch die Community natürlich stark beschädigt, weil natürlich auch in der Community viele Menschen herumlaufen, die eben auch betroffen sind von Diskriminierung. Und wenn eben diese ganzen Programme auch in der Python Software Foundation eingestellt werden, das stört natürlich auch massiv das Ökosystem, wenn ich eben mich nicht mehr darum kümmere und Awareness habe für eben die Rechte der Mitglieder der Python Software Foundation, einfach grundlegende Menschenrechte.
Das ist schon beeindruckend, aber natürlich trotzdem großen Respekt dafür, dass die Python Software Foundation eben auch trotz der hohen Menge an Geld hier das nicht mit sich machen lassen hat.
Sind dir auch noch andere Projekte bekannt, die aufgrund diesem Sachverhalts dann nicht mehr gefördert werden sollen oder wo in der Pipe stehen? Gibt es da schon was, was noch über das jetzt rauskam?
Also ich glaube, das betrifft alle Förderungen irgendwie in der Ecke, aber ich weiß nicht, wer genau konkret von betroffen ist. Ich habe es jetzt nur von der Python Software Foundation wahrgenommen, dass sie eben dann auch das öffentlich kundgetan haben, aber es wird sicherlich mehrere Organisationen noch betreffen oder betroffen haben.
Ja, also Vielfaltsthemen wurden noch vor wenigen Jahren auch in der freien Softwarewelt noch sehr kontrovers diskutiert. Also ich kann mich da an Diskussionen, die noch für eine Mailingliste erinnern. Erinnern, da war das noch nicht so eindeutig. Das ist eigentlich auch schon ein paar Jahre her. Und deswegen finde ich das auch sehr schön und unterstützenswert, dass sich da die Python Software Foundation sich so eindeutig positioniert.
Ja, wir warten mit dem nächsten Thema.
Ja, wir bleiben noch ein bisschen kurz in der Open-South-Welt. Das österreichische Militär, das Bundesheer in Österreich steigt gerade um von Microsoft Office auf LibreOffice und mich erschleicht da so eine Eine Erinnerung, Italien hat das Ganze auch schon getan vor einigen Jahren.
Und das ist ganz spannend, weil das österreichische Bundesheer jetzt auch an der Weiterentwicklung von LibreOffice, zur Weiterentwicklung von LibreOffice beiträgt, beziehungsweise das auch schon getan hat und einige Funktionen in LibreOffice letztendlich auch finanziert hat, von denen natürlich auch alle anderen wieder profitieren.
Und das sind so kleine Sachen bis große Sachen, die LibreOffice insgesamt zu einer besseren Software machen und kleinere Accessibility-Themen, Benutzbarkeitsthemen, die die Software nutzendenfreundlicher machen. Das ist natürlich eine schöne Sache und das ist total spannend, weil wir plötzlich so einen Shift wahrnehmen.
Wenn große Organisationen von den proprietären Lösungen weggehen und auf Open-Source-Software schwenken, dann fließt natürlich insgesamt auch mehr Geld in so ein Open-Source-Software-Ökosystem. Und das ist ja die einzige Chance, wie wir tatsächlich mit guter Open-Source-Software eine Chance haben, eben uns unabhängig zu machen und andere Kollaborationsmodelle zu finden, die so ein bisschen dem europäischen Spirit entsprechen, wo wir gemeinsam Software entwickeln, gemeinsam Software nutzen.
Und ich habe so das Gefühl, man bekommt es an verschiedenen Stellen immer wieder mit, dass wir gerade so in dieser Zeit sind, wo auch wirklich so größere Organisationen diesen Schwenk wagen und auch vielleicht hier und da nochmal den einen oder anderen Kompromiss eingehen. Das wird ja OpenSoup Software immer wieder vorgeworfen. Die Software ist irgendwie von niedriger Qualität. Ich würde sagen, in der Verallgemeinerung ist das völliger Quatsch.
Ich habe genug schlechte Software auch von Microsoft gesehen, um das ganz klar widerlegen zu können. Aber natürlich hatten Microsoft viel höhere finanzielle Ressourcen, um qualitativ hochwertige Software zu entwickeln, als viele Open-Source-Projekte es haben.
Und wenn wir jetzt dahin kommen, dass wir gerade auch solchen öffentlichen Geldern oder größere Unternehmen, die den Schwenk machen und dann eben auch signifikant Geld in Open-Source-Software investieren, wenn wir dahin kommen, dass eben dann die Open-Source-Software, weil eben verschiedene Organisationen dazu beitragen, Interesse daran haben, dass diese Software besser wird.
Dann werden wir wahrscheinlich schnell an den Punkt kommen, dass die freie Software dann auch funktional der proprietären Software schnell überlegen ist. Und da bin ich mal gespannt, ob wir es schaffen, diese Chance zu nutzen. Schleswig-Holstein ist ja Vorreiter. Thüringen macht auch wahnsinnig viel, wird oft nicht genannt, aber ist auch großer Vorreiter in Deutschland, was auch die Entwicklung und Finanzierung von Open-South-Software angeht.
Und ja, ich glaube, da könnte gerade was passieren, dass es eben auch lohnt, auf einen hohen Verbreitungsgrad zu kommen. Gute freie Software zu ermöglichen und zu nutzen.
Also mir ist gerade auch gefallen, diese Meldung hatten wir schon in der letzten Sendung, aber so gute Nachrichten kann man natürlich so oft vermelden, wie es geht.
Ja, und ich muss an der Stelle auch kurz reinspringen und jetzt doch mal in die Netzwerkeffekte-Kasse einzahlen, denn bei solcher Standardsoftware, die, ich will jetzt nicht sagen Feature-Complete, aber für die meisten Leute, die sie nutzen, auch wirklich die allererforderlichen Funktionen bereitstellt, kommt es ganz, ganz stark darauf an, auf den Marktanteil. Und das ist das Ökosystem. Und die Größe des Ökosystems viel entscheidender ist als die Qualität der Software.
Und gerade Microsoft hat das so schön demonstriert mit Windows 8, was sie auf die Nutzer losgelassen haben und was in der Benutzung, also im UX, eine nachweisbare Katastrophe war. Also da kann man jeden UX-Spezialisten zu fragen, dass das ein völliger Homburg war. Und da gab es Gründe damals. Ich werde da jetzt nicht groß drauf eingehen.
Aber das hat aber keine Rolle gespielt. Denn der Wert dieser Plattform Windows liegt darin, dass ich darauf die ganzen Programme laufen lassen kann, die unter Windows laufen. Und nicht darin, dass dieses Interface jetzt irgendwie gut ist oder wie bei Windows 8 so grottenschlecht ist. Das kann man sich dann erlauben, weil es eben nicht darauf ankommt.
Und ebenso bei Office geht es jetzt nicht darum, dass gerade Excel, sehr viele Kritiker für sich begeistern kann, weil es auch eine ziemlich gute Software ist, sondern es kommt halt darauf an, dass ganz viele Leute das nutzen.
Genau. Und jetzt, Andreas hat sich auch gerade noch gemeldet zu dem Thema.
Genau der Punkt. Wir hatten auch bei uns in den Bereichen die Diskussionen, LibreOffice, Microsoft Office etc., wo wir auch bei deinem ehemaligen Arbeitgeber Thorsten das Thema haben, ja, wenn wir die Software bei Ihnen aus der Plattform nehmen, müssen wir Microsoft-Dizenz vorhalten. Alleine da ist schon der große Punkt, warum geht man hier nicht auf Offen-Source oder stärkt das Ganze noch, um das auch in die Fläche zu bekommen.
Die Abhängigkeit ist ja einfach immer noch sehr stark von den Anwendungen mitgegeben.
Und das Interessante an der Sache ist, dass die Fachverfahrenshersteller tatsächlich Bibliotheken benutzen, die offene Formate rausspucken. Die könnte man hervorragend in LibreOffice öffnen.
Dann hoffen wir mal auf die Zeit.
Also Microsoft macht es da natürlich bewusst schwer, auch irgendwie in offenen Formaten zu exportieren. Und also ich habe irgendwie neulich herausgefunden, es gibt irgendwie Gruppenrichtlinien, um irgendwie zu sagen, in welchem Format man irgendwie, weiß ich nicht, Word zum Beispiel, in welchem Format Word standardmäßig Dokumente exportiert.
Und aus irgendwelchen unerfindlichen Gründen gibt es da keine Optionen, da irgendwie Open Document Text irgendwie zu exportieren, sondern nur die Microsoft-Formate, die man dann per Gruppenrichtlinie setzen kann. Das muss ein bedauerlicher Fehler sein in der Entwicklung von Microsoft Small Business Server.
Das ist ein Bug. Das hatten die eigentlich vorgesehen. Ja, genau.
Das Ticket gibt es noch irgendwo vergessen worden. Ja, was aber offene Formate angeht, also ich glaube, die nächste IT-Planusratssitzung, da gab es ja auch irgendwie einen Beschluss zu offenen Austauschformaten in der Frühjahrssitzung des Planusrats. Und der Planusrat hat hier den Auftrag gestellt, bis zur 48. Sitzung ein Konzept vorzulegen. Das heißt jetzt in der kommenden Sitzung auch schon mal Spoiler-Alert,
wird es auch wieder um dieses Thema gehen. Vielleicht dann auch wieder was für den nächsten Podcast. Ich habe noch drei mittelerfreuliche Themen, die ich vielleicht noch kurz durchskippen. Es gab wieder einen Datenabfluss bei der Schufa-Tochter Bonify und das wäre, ich finde, ein klassischer Fall von Head to Head. Also dachten wir eigentlich, dass das Thema durch ist, aber mir ging es wieder um Face-ID, Face-to-Face-Identifikationsdaten sind irgendwie...
Im Video-Ident-Prozess abhandengekommen. Hätte man die E-Di genutzt, wie es bei anderen Diensten ist, dann wäre das nicht passiert und die E-Di-Daten sind tatsächlich hier bei Bonify auch nicht abhandengekommen. Man hat aber irgendwie Video-Ident ein bisschen vermasselt und das hat zu einem größeren Datenabfluss bei Bonify geführt, was natürlich auch hochsensible Daten sind. Genau.
Hoffen wir mal, dass das E-Di-Ökosystem doch noch irgendwie besser wird und da tatsächlich das Erzählen alles war ja auch im vorletzten Podcast Das ist zum E-Government-Monitor wieder Thema. Die Ökosysteme wird jedes Mal immer wieder erwähnt und braucht ein bisschen Aufmerksamkeit nach wie vor. Ja, dann nochmal, weil ich weiß gar nicht, ob es schon ein Thema war, aber ich wollte es nochmal bringen.
Das Thema Chatkontrolle ist und war natürlich im Oktober auch was, was uns beschäftigt hat und wird uns auch nochmal im Dezember beschäftigen.
Thema Chat-Kontrolle, also Kleinzeit-Scanning, das EU-Gesetzgebungsvorhaben, das eben beabsichtigen soll, auf den Endgeräten von Privatpersonen lokal so das Versprechen nach kinderpornografischen Inhalten zu suchen und damit letztendlich natürlich eine Umgehung von Ende-zu-Ende-Verschlüsselung und ein Aufbrechen von Ende-zu-Ende-Verschlüsselung de facto darstellt.
Und damit hat sich das EU-Parlament beschäftigt und auch die EU-Kommission beschäftigt und im EU-Rat war kurz auf der Kippe, ob die Mitglieder der EU-Regierung im EU-Rat dieses Vorhaben durchwinken oder nicht. Und in letzter Sekunde hat sich Deutschland noch dagegen positioniert. Zum Glück muss man sagen, kann man sagen, dass das Vorhaben jetzt eben so wie es ist, erst mal im EU-Rat gescheitert ist.
Es wird aber im Dezember wieder Thema sein. Also das Thema Chat-Kontrolle wird uns weiter begleiten. Und was mir in der Diskussion immer wieder noch ein kleines Stück zu kurz kommt, ist die tatsächliche Gefahr, die so eine Chat-Kontrolle mit sich bringt.
Also neben den ganzen technischen Herausforderungen und Unmöglichkeiten, die dieses Vorhaben mitbringt, also der grundsätzlichen Thematik, dass wir Ende-zu-Ende-Verschlüsselung einfach nicht aufbrechen sollten, Weil es natürlich immer wieder Sicherheitsrisiken mit sich bringt und einfach nicht wert ist, in der Demokratie auf Ende-zu-Ende-Verschlüsselung zu verzichten.
Es gibt viel bessere Maßnahmen, um Kindesmissbrauch zu verhindern, sagt ja auch zum Beispiel der Kinderschutzbund und viele andere Organisationen, die dieses Vorhaben auch aus einer Kinderschutzperspektive sehr kritisch sehen. Klingt alles sehr nach vorgeschobenen Gründen.
Die größte Gefahr, die ich aber tatsächlich sehe und die wird auch von vielen Stellen natürlich benannt, so eine Chatkontrolle ist am Ende des Tages natürlich eine wahnsinnig gefährliche Suchmaschine für Dokumente auf den Geräten von Privatpersonen.
Wenn Regierungen diese Datenbanken mit potenziell oder mit angeblich kinderpornografischen Inhalten füttern können mit beliebigen Dokumenten oder Hash-Werten, dann kann ich natürlich auch mal gucken, wer hat denn dieses eine Dokument, was da letzte Woche geleakt wurde, wer hat das denn alles so auf seinem Telefon drauf? Also auch so ein Missbrauch dieser Funktion ist, glaube ich, ein Thema, was in der Diskussion passiert.
Am Rande hier und da mal erwähnt wird, aber am Ende dann doch in der großen Diskussion höre ich es leider viel zu selten und das ist was, was ich so mit am heikelsten sogar sehe, gerade wenn wir vor der, vor den Krisen, in denen unsere Demokratie gerade steht, natürlich uns auch mal mit den Gedanken konfrontieren müssen, wie sieht es dann aus, wenn mal einer und vielleicht auch nur temporär, aber wenn mal eine Regierung. Nicht die Interessen der Bevölkerung vertritt und das ist eine Gefahr.
Vor der ich echt ein bisschen Angst habe. Insofern sehr gut, dass das Vorhaben hier im Rat wieder gescheitert ist und hoffen wir mal, dass es im Dezember das Deutschland da bei seinem Kurs bleibt.
Ja, drittes Thema noch, Zerforschung war wieder aktiv. Das Kollektiv aus Berlin von Sicherheitsforschenden hat sich diesmal Reservierungsplattformen von Hotels angeschaut, betroffen waren, war unter anderem wieder die oder mal wieder Motel One, die hier unsichere Buchungsplattformen noch eingesetzt hatten.
Da gibt es wieder einen sehr schönen Blogbeitrag, der wieder eine sehr einfache Lücke, also man kann es fast schon nicht Lücke nennen, das war einfach eine offene Schnittstelle, über die ich irgendwie alle Buchungsdaten von den Hotels anfragen konnte, ohne irgendeine Absicherung. Es waren 75 Millionen Reservierungen und 48,5 Millionen Gästeprofile, schätzungsweise abrufbar gewesen. Und das ist echt schon wieder massiv und man fragt sich wieder, wie konnte das passieren?
Und das ist wirklich ohne irgendwelche Tests und ohne, dass mal irgendwer mit IT-Sicherheitsverstand drauf geschaut hat, wurden diese Systeme ins Internet gehängt. Ja, gut, dass es wachsame Zivilgesellschaft gibt, die hin und wieder mal im Browser die Browser-Konsole aufmacht und und schaut, was immer mit in die Browser denn da so und kriegt man da nicht noch mehr Daten raus, als eigentlich gedacht sind.
Motel One lebt halt Open Data.
Ja, Vorreiter, würde ich sagen. Ja, ich habe noch so zwei kleine Sachen, die wahrscheinlich eher in die Kategorie kurz erwähnt fassen. Einmal gab auf LinkedIn, hatte ich mit der Verfolgte große Diskussionen über die Fotoautomaten der Bundesdruckerei, die jetzt in den Meldeämtern stehen, wo ich mich fotografieren lassen kann, wenn ich meinen Pass beantragen soll. Da sind natürlich wieder enorme Kosten, die da jetzt auch auf Kommunen zukommen. Dazu gab es eine Diskussion.
Und gleichzeitig haben wir in der Presse genommen, dass die Kosten des Personalausweises auch erhöht werden sollen. Also auch für Privatpersonen müssen wir uns natürlich wieder die Frage stellen, wie wir als Staat, als Verwaltung mit so einer Infrastruktur umgehen und wie wir es auch schaffen, solche Lösungen kostengünstig bereitzustellen. Man hätte auch einfach ein Handy irgendwo den Leuten an den Tisch legen können
und eine weiße Wand. und dann hätte man wahrscheinlich ähnlich gute Personalsweis-Fotos hinbekommen oder sei es eine Spiegelreflexkamera. Also ich denke mal, das kriegt man irgendwie für unter 5000 Euro hin. Die Fotoautomaten waren deutlich teurer.
Wobei ich sagen muss, den Artikel, den du verlinkt hast, da könnte ich mich wieder drüber aufregen. Nicht, dass du den verlinkt hast, sondern über den Inhalt. Der ist, wenn man sich anschaut, wer den geschrieben hat, der ist einer der Sprecher eines Verbandes der privatwirtschaftlichen Fachverfahrenshersteller. Also der schreibt das auch nicht ohne Grund. Und im Prinzip regt er sich in dem ganzen Artikel nur darüber auf, dass er nicht gefragt wurde, ob er nicht die Automaten herstellen will.
Und das finde ich unschön. Vor allen Dingen, er verlinkt dann den Artikel von Heise und schreibt in seinem Text nicht ein Wort über den Artikel von Heise. Also es ist quasi eine Text-Link-Schere.
Mir ist es auf LinkedIn einfach ein paar Stellen. Ich habe jetzt mal exemplarisch den Post irgendwie verlinkt. Aber es ist natürlich auch eine Frage, also wie privatwirtschaftlich oder auch nicht wollen wir so solche Märkte gestalten und wollen wir da einen Markt aufmachen oder wollen wir es auch nicht und wenn wir da keinen Markt aufmachen, dann sollte das Ganze natürlich trotzdem irgendwie bezahlbar sein.
Es kann ja auch an ein paar Stellen sinnvoll sein, bestimmte Services einfach als Verwaltung selbst bereitzustellen, weil es vielleicht günstiger ist oder einfach einfacher und günstiger ist, als dann einen Markt aufzumachen und dann müssen wir es natürlich aber auch schaffen, als Verwaltung irgendwie effizient zu arbeiten, sonst machen wir uns
unglaubwürdig. Ja, letzter Punkt nochmal. Eine Kommentation eines Netzpolitik-Artikels, wo es um den Umstieg der Bundesministerium von Windows 10 auf Windows 11 geht, fand ich ganz interessant zu lesen. Hier scheint der Bund nicht so ganz den Überblick darüber zu haben, welche IT beim Bund betrieben wird. Malte, vielleicht weißt du dazu ja mehr.
Genau, danke. Also ich habe den Artikel bei Netzpolitik gelesen und ich habe mich sehr gewundert über alles, was da drin steht, also über mehrere Aspekte. Zum einen ist es so, dass im Bund... Über Rahmenverträge für fast alle Bundesbehörden Windows in einer anderen Version zur Verfügung steht. Also wenn man ein Corporate Agreement mit Microsoft hat, also was über den Rahmenvertrag eben drin ist, dann kann man darüber die LTSC-Version beziehen.
LTSC ist was anderes als das, was der Privatanwender oder das Kleinunternehmen bei Microsoft bekommt. Und das ist eine Version, die hat ein ganz anderes Enddatum. Also End of Life für LTSC 2019 ist tatsächlich erst 2029. Und für LTSC 2021 waren nur fünf Jahre. Das heißt, das läuft Anfang 2027 aus. Und das heißt also, diese Windows-11-Umstellung gilt für die meisten Bundesbehörden, die eben diese LTSC-Version einsetzen, nicht.
Und umgekehrt ist es dann aber auch so, dass ich mich über die Antwort gewundert habe. Ich habe sie jetzt nicht im Detail gelesen, denn viele Bundesbehörden sind ja doch etwas größer und setzen so Dinge wie AD oder Softwareverteilung ein. Und können allein da schon auf Knopfdruck sehen, ungefähr wie viel Windows 10 sie haben.
Warum das jetzt nicht nachgefragt wurde, was bei solchen kleinen Anfragen normalerweise geschieht, kann ich mir jetzt nicht vorstellen, weil parlamentarische Anfragen kriegen wir im Land und im Bund relativ häufig auch durchgereicht dann an die nachgeordneten Behörden, um solche Sachen zu zählen. Und das wird dann gezählt und nach oben gemeldet und dann kumuliert und dann in die Antwort auf so eine kleine Anfrage gepackt. Warum sie es in dem Fall nicht gemacht haben, weiß ich nicht.
Aber wie gesagt, sowohl die Frage ist schwer verständlich, vor allen Dingen vor dem Hintergrund, Wenn man LTSC-Versionen einsetzt, dann braucht man die Windows-Version nicht so häufig zu wechseln. Das ist ganz praktisch, weil dann muss man nicht die ganzen Anwendungen testen. Da hängt ja ganz viel hinten dran.
Wenn man allerdings so fit ist, weil man eine Umsetzung ist, die groß genug ist oder eben nicht so viele Windows-Anwendungen supporten muss und diese normale Windows-10-Version einsetzt, die sich relativ häufig verändert hat, dann ist eben auch anzunehmen, dass man relativ fix und einfach schon längst auf Windows 11 gewechselt ist. Also deswegen in mehrfacher Hinsicht nehme ich einfach nicht an, dass es da große Probleme gab.
Jedenfalls nicht im Bund. Weil wie gesagt, entweder man hat bewusst schon die Version eingesetzt, die sich relativ häufig verändert. Und dann wird man schon längst auf Windows 11 sein. Oder man gehört eben zu denen, die LTSC einsetzen. Und dann ist dieses Jahr noch gar nicht relevant.
Ja, vielen Dank. Andreas, wie schaut das bei euch in den Kommunen aus?
Wir haben standardmäßig auf Windows 11 migriert, haben jetzt nicht die LTSC-Version von Windows 10 und dort, wo auch bei den Kollegen, wo es notwendig war und das jetzt nicht zeitfrist oder fristgerecht geschafft wurde, wurde der Extended Support-Name für ein Jahr verlängert oder das Gerät wurde gleich komplett getauscht, je nachdem, was bei den Kollegen dann auch kostengünstiger war. Aber die LTSC-Version haben wir jetzt von Windows nicht im Einsatz.
Wir haben dann standardmäßig einfach migriert. Und interessant ist schon für bestimmte Softwaren, zum Beispiel die berühmte Citrix Workspace App etc., dass du hier auf die LTSC gehst, weil die natürlich einfach stabil läuft und gut durchgetestet ist. Und das haben wir dann in vielen Varianten, wo es möglich ist, setzen wir auf das dann schon.
Finde ich übrigens ganz interessant, mal die Seite zu hören, denn umgekehrt, wenn man LTSC einsetzt, dann gibt es ja auch wieder Software, die damit nicht so gut getestet ist.
Das kann dir immer passieren, aber die Erfahrung zeigt, bei uns ist wirklich der Einsatz von der LTSC meistens der gewinnbringendere und der supportärmere Fall und dadurch auch der stabilere, den wir dann sehr gerne annehmen.
Ja, bleibt spannend. Komplexe Microsoft-Migrationswelt.
Das stimmt allerdings.
Entschuldigung, wollte ich nicht unterbrechen. Mich hat ja an der Antwort, also an dem ganzen Vorfall oder am Vorgang am meisten auch irritiert, wie Malte auch gerade schon sagte, dass irgendwie da an der Stelle einfach nicht klar war, wie es denn überhaupt, wie denn der aktuelle Stand ist, wie viele Rechner denn auf welcher Version laufen, weil das ja so ein ganz kleines Lizenzmanagement-Thema auch sein muss. Und mein Asset Management muss ja eigentlich dazu relativ einfach Zahlen aussprechen.
Ich kann es mir eigentlich nur erklären durch die Neuheit des Ministeriums und organisatorische Prozesse, dass die Daten halt gerade dann irgendwie nicht in der richtigen Stelle in der Presseabteilung verfügbar waren oder so. Die Daten müssen ja irgendwo vorliegen. Aber das Thema ist ja auch zum Beispiel Thema in der Modernisierungsagenda des Bundes oder des BMDS, das Lizenzmanagementbund an der Stelle aufzubauen und über die gesamte Bundesverwaltung hinweg Softwarelizenzen zu monitoren.
Das wird bestimmt auch nochmal ganz spannend, weil das sicherlich auch nochmal über die Datengrundlage verbessert und am Ende auch eine Kostenschätzung oder eine Kostenkalkulation ermöglicht. Wie viel Geld geben wir denn tatsächlich eigentlich in der gesamten Bundesverwaltung für Softwarelizenzen aus und wie viel Open-Source-Software nutzen wir denn in
der gesamten Bundesverwaltung? Und das sind Daten, die haben wir aktuell einfach tatsächlich an der Stelle auch in der Breite und Genauigkeit noch nicht. Ich bin mal gespannt, was wir da so in den nächsten Jahren noch erfahren werden, wie es um Software-Lizenzen aussieht, die die Bundesverwaltung so insgesamt geht. Einkauft oder nutzt, wenn es eine OpenSUS-Software ist.
Dem muss ich so ein bisschen widersprechen, Marco, denn tatsächlich der erfolgreichste Teil der IT-Konsolidierung Bund war die Beschaffungskonsolidierung. Und ich wüsste jetzt kaum Behörden, die nicht aus den großen Rahmenverträgen sich bedienen. Das heißt also für das meiste, insbesondere so diese Standardsachen Microsoft, liegen uns eine Menge Daten vor. Man muss halt nur gucken, eben in den Rahmenverträgen, was da abgerufen wird. Und da gibt es das zentrale Beschaffungsamt.
Übrigens, Kollegen, die machen das super toll. Also wir sind auch sehr zufrieden mit diesen Rahmenverträgen, muss ich sagen, als Behörde, weil wir brauchen nicht mehr selber ausschreiben. Wir beteiligen uns an diesen großen Verfahren und ja, dann rufen wir nur noch ab. Das ist super praktisch. Bedeutet allerdings dann auch, dass die kumulierten Daten natürlich zur Verfügung stehen. Also gerade wie gesagt, Microsoft braucht man nur beim Beschaffungsamt fragen.
Okay, vielen Dank. Ich glaube, wir sind durch mit unseren Themen und es war sehr, sehr viel. Wir sind fast bei zwei Stunden, aber wir sind noch nicht ganz am Ende, denn wie immer kommt jetzt erstmal noch der Veranstaltungskalender und der ist im November immer noch reichlich gefüllt und zwar am 4. Und 5. November ist in Bremen Föderal Digital 2025 25. Am 5. und 6. November gibt es den 5G Hackathon im 5G Security Lab in Freital.
Das ist vom BSI. Ich glaube, das ist auch eine recht interessante Veranstaltung. Eine nächste interessante Veranstaltung ist am 6. November die Piazza Konferenz für digitale Verwaltung und Gesellschaft. Am 7. bis 9. November ist das Chaos jetzt Geekend. Also das ist eher was für die Nerds unter euch allen. Am 13. November ist der Salonabend Bürokratieabbau und Demokratieinnovation in Erfurt. Am 14. November Public Service Lab Day 2025 in Wiesbaden.
Am 25. November digitale Verwaltung Rheinland-Pfalz in Mainz. Am 26. November ist die 48. Sitzung des IT-Planungsrats. und am 27. November ist die NewGov NRW Innovation Fair in Düsseldorf.
Also es ist wieder einiges los im November, im Dezember wird es dann wieder etwas ruhiger und das war es erstmal mit den Veranstaltungen für November und wie immer am Ende einer jeden Sendung bedanke ich mich bei den Unterstützern, die mich finanziell unterstützen beim eGovien Podcast und das waren im letzten Monat Ralf, Malte, Claudia, Heiko, Florian, André, Michael, Nils, Kalli, Heinz und Peter. Vielen Dank für die Unterstützung.
Wer noch unterstützen möchte, findet die entsprechenden Möglichkeiten unter e-government-podcast.com slash unterstützen. Und damit bedanke ich mich bei euch, lieber Andreas, lieber Malte, lieber Marco, dass ihr heute da wart und so interessante Themen mitgebracht habt. Vielen Dank bei euch Zuhörenden und bis zum nächsten Mal.
Tschüss. Macht's gut.
Ciao. Servus.
Ciao.