Digitale Souveränität ist eine der drängendsten Herausforderungen für europäische Staaten, Unternehmen und Bürgerinnen und Bürger geworden. Mittlerweile ist die Erkenntnis auch im politischen Mainstream angelangt, dass die Abhängigkeit von monopolistischen, lobbygetriebenen Konzernstrukturen die digitale Selbstbestimmung des Staates gefährdet. Das kann verheerende Folgen für die digitale Souveränität haben. Doch eine Exitstrategie ist nicht einfach in die Tat umzusetzen. Denn Kernbereiche staatlicher Infrastruktur und Verwaltung sind massiv von derartigen Software- und Cloudmonopolen geprägt – und das bereits seit Jahrzehnten. Unsere technologische Abhängigkeit droht sich künftig noch zu verstärken. Denn Microsoft will die Behörden zunehmend weiter in sein digitales Ökosystem zwingen. Die Gemengelage ist zugleich eine Chance für die digitale Souveränität: Selbstbestimmte und sichere IT-Infrastrukturen sind das Gebot der Stunde.
Auch wenn es von außen nicht immer so wirkt: Die Arbeitsroutinen der öffentlichen Verwaltung haben sich in den letzten Jahrzehnten weitgehend digitalisiert. Ohne Hardware und Software sind die meisten Behörden heute nicht arbeitsfähig. Doch mit der zunehmenden digitalen Ausstattung sind intensive Geschäftsbeziehungen zu privaten IT-Dienstleistern entstanden. Auf Ebene der Software dominiert der Microsoftkonzern die digitale Verwaltung (siehe hier).
Marktstatus und Abhängigkeit
Software von Microsoft bildet mittlerweile das technologische Rückgrat der deutschen Behördenlandschaft. Eine aktuelle Analyse der Open Cloud Coalition belegt einen Marktanteil von über 90% im Bereich Bürosoftware und gut 84% für Collaborationlösungen.
Die Dominanz ist nicht bloß das Resultat nutzerfreundlicher und funktionsfähiger Produkte. Es ist die Folge einer langfristigen Unternehmensstrategie: Geschlossene Systeme, proprietäre Standards, komplexe Lizenzregime und strategisches Product-Bundling machen den Wechsel zu Alternativen unattraktiv und teuer. Durch ein engmaschiges Vertriebsnetzwerk kann Microsoft die Entscheidungen in deutschen Vergabeabteilungen eng beobachten und beeinflussen.
Trotz (oder gerade wegen?) dieser engen Verflechtung: Bislang überlässt es die Politik den einzelnen Behörden, auf den Weg der „digitalen Souveränität“ abzubiegen. Doch der kommunale IT-Referent gerät schnell an seine Grenzen, wenn die Mailkonten im behördlichen Rechenzentrum bereits über Exchange aufgesetzt sind und das Lizenzmanagement mit den Microsoftvertrieblern schon eingespielt ist.
Eine komplette IT-Infrastruktur, die tief durch Microsoftprodukte und -anwendungen geprägt ist, durch Alternativen zu ersetzen, ist alles andere als ein Kinderspiel. Ohne Rückendeckung durch die Chefetage wird ein Umstieg im Behördenalltag praktisch unmöglich. Denn das IT-Referat soll nebenbei ja noch OZG-Leistungen (OZG: Onlinezugangsgesetz) implementieren, die bestehende IT warten und Supportanfragen à la „Warum druckt mein Drucker nicht mehr“ bedienen.
Eingeschliffene Beschaffungspolitik und unklare Lizenzkosten
Damit deutsche Behörden einen einfachen und geregelten Zugang zu Microsoftprodukten haben, hat sich über Jahre ein Beschaffungsturnus eingespielt. Das Bundesministerium für Inneres (BMI) schließt einen Rahmenvertrag mit Microsoft ab – und Behörden in Bund, Ländern und Kommunen nutzen ihn, um sich mit Microsoftlizenzen einzudecken. Von der Textverarbeitung via Word oder Kalenderfunktionen in Outlook über die Infrastruktur für Exchange-Server bis hin zu Kommunikationstools wie Teams: Allein Bundesbehörden haben im Jahr 2023, wie heise.de berichtet, knapp 198 Millionen Euro an Lizenzkosten an Microsoft bezahlt.
Ins Auge fällt bereits, dass der Vertrag offenbar kein übergreifendes Monitoringinstrument über die Lizenzkäufe vorsieht. Nur Microsoft und seine Licensing Solution Partner kennen die exakten Zahlen. Bund und Ländern fehlt durch diese Asymmetrie ein Gesamtüberblick darüber, wie viel Steuergeld deutschlandweit in Microsoftprodukte fließt. Ohne einen Überblick über die Gesamtkosten für die öffentlichen Haushalte fällt es dann auch schwer, das Gesamtbudget „Microsoftlizenzkosten“ mittelfristig umzuleiten – etwa um alternative Wege zu souveränen Lösungen zu beschreiten.
Cloudcomputing als Risiko für die IT-Sicherheit
Die traditionell gewachsene Abhängigkeit von Microsoft droht sich nun beim Einstieg in Cloudinfrastrukturen des Konzerns weiter zu verfestigen. Das wächst sich zu einer ernsthaften Gefährdung für eine technologiesouveräne Verwaltungs-IT aus. Den Ankerkunden Staat setzt die Cloudpolitik von Microsoft unter erheblichen Zugzwang: Auf Microsoftprodukte verzichten oder die bittere Pille schlucken, dass staatliche Daten künftig auf Clouds eines Unternehmens gespeichert werden, das in der Vergangenheit immer wieder auch durch schwerwiegende IT-Sicherheitsvorfälle international aufgefallen ist, lautet die Frage.
Ein Festhalten an Microsoft ist problematisch – und verfestigt bestehende Pfadabhängigkeiten. Denn zentralisierte Strukturen, divergierende regulatorische Rahmenbedingungen und der Mangel an unabhängiger Aufsicht über die IT-Systeme führen dazu, dass sich selbst kleinste IT-Sicherheitslücken oder Fehlkonfigurationen rasch systemübergreifend auswirken können. Ein Beispiel dafür ist der sog. Crowdstrike-Ausfall im Sommer 2024: Ein fehlerhaftes Update zog nicht nur einzelne Systeme, sondern große Teile der öffentlichen Infrastruktur in Mitleidenschaft. Auch ein Masterkey-Leak in Microsofts Azure-Cloud führte 2023 dazu, dass Angreifer auf die Mailkonten zahlreicher US-Behörden und Unternehmen zugreifen konnten.
Der Scheideweg für eine souveräne Verwaltungs-IT
Cloudsouveränität ist essentielle Voraussetzung für eine moderne Verwaltung. Die nächsten Jahre muss die Politik deshalb nutzen. Es gilt Abhängigkeiten aktiv abzubauen. Hierzu gehört zuvorderst, ein kontinuierliches und transparentes Monitoring der IT-Beschaffungskosten zu etablieren und gleichzeitig offene Standards und Schnittstellen festzuschreiben. Nur so lassen sich Portabilität, Interoperabilität und klare Exitregeln gewährleisten. Mittelfristig wird es darüber hinaus erforderlich sein, herstellerunabhängige Referenzarchitekturen zu entwickeln. Die künftige IT-Infrastruktur der Verwaltung sollte endlich modular und flexibel gestaltet sein. Und genau deshalb braucht es jetzt einen unmittelbaren und strategisch geplanten Ausstieg aus dem Microsoftökosystem. Nur so lässt sich langfristig eine digital souveräne Verwaltungs-IT aufbauen, die diesen Namen tatsächlich auch verdient.
Digitale Souveränität als historische Chance
Digitale Souveränität ist kein PR-Label, sondern ein staatlicher Steuerungsauftrag. Er wurde lange Jahre vernachlässigt. Deutschland steht vor einer strategischen Aufgabe – und muss diese mit politischer Führung, technischem Know-how und europäischer Zusammenarbeit entschlossen angehen. Es ist ein gutes Zeichen, dass im neuen Bundesministerium für Digitalisierung und Staatsmodernisierung (BMDS) eine ganze Abteilung zum „Deutschland-Stack“, also einer souveränen nationalen Digitalplattform, geplant ist. Es wäre ein international achtbarer Erfolg für den neuen Bundesminister Dr. Karsten Wildberger, wenn er es schafft, Deutschland von der digitalen Abhängigkeit in die digitale Souveränität zu führen.
Hinweis der Redaktion:
Die Erkenntnisse dieses Beitrags basieren auf dem CII Whitepaper „Zwischen Quasi-Monopol und Souveränitäts-Washing: Hindernisse auf dem Weg zu einer souveränen Cloud-Infrastruktur der deutschen Verwaltung“, abrufbar unter diesem Link: https://cyberintelligence.institute/projekte/cii-whitepaper-hindernisse-auf-dem-weg-zu-einer-souveraenen-cloud
Autor
Prof. Dr. Dennis-Kenji Kipker
dennis.kipker@cyberintelligence.institute
www.cyberintelligence.institute