Deutschland im digitalen Neuland

Liebe Leser:innen,

nach langer Funkstille gibt es mal wieder einen Beitrag von mir fernab meines eigenen Programmprojekts KYSA. Nachdem Corona inzwischen nicht mehr das TOP-Thema Nummer 1 ist und wir zudem auch seit vielen Jahren wieder einen Krieg in Europa haben, ist das Thema innere und äußere Sicherheit in den letzten Monaten verstärkt in den Fokus gerückt.

Dabei geht es nicht nur um (nicht funktionierendes) Militärgerät und Munition, sondern auch und in Zukunft noch viel mehr um IT-Sicherheit. Mit dem Anschlag auf die Bahn-Signalanlage im letzten Jahr und der Angst um die Manipulation von Strom-, Gas- und Wasserversorgung sind die letzten durch die Gasknappheit ohnehin schon angespannten Monate zusätzlich herausfordernd geworden. Und wieder einmal zeigte sich, dass Deutschland im Digitalbereich als Staat lange zu wenig getan hat, um seine (digitalen) Abhängigkeiten zu reduzieren und die Infrastruktur fit für die digitale Zukunft zu machen und zu schützen. Das sprichwörtliche „Neuland“ eben.

Die oberste digitale Sicherheitsbehörde, ein Sicherheitsrisiko?

Dann wurde auch noch die Nachricht publik, dass der Chef des BSI – der obersten IT-Sicherheitsbehörde Deutschlands – in einem Verein tätig gewesen sein soll, der Verbindungen nach Russland und dem dortigen Geheimdienst haben soll. Obwohl diese Tätigkeiten vorab vom Innenministerium genehmigt wurden, wurde er Ende Oktober von seinen Aufgaben entbunden. Das wiederum ließ die Diskussion aufkommen, ob man ihn nicht eigentlich wegen etwas anderem loswerden wollte und mit dieser Causa einen guten Grund bekam.

Zwar war Arne Schönbohm im IT-Bereich nie wirklich als Experte anerkannt (und als „Cyberclown“ geschmäht), dennoch schien er zumindest einige Positionen (z.B. gegen das Offenlassen von bekannten Sicherheitslücken zur späteren Ausnutzung durch den Staat) in Einklang mit der IT-Sicherheits-Community zu vertreten (siehe Artikel bei ComputerBase und Heise). Der CCC als Instanz im digitalpolitischen Umfeld, der auch gerne von Gerichten als Experte hinzugezogen wird, mahnte jedoch richtigerweise an, dass nicht nur der Chef der Behörde ein Problem sei. Vielmehr sei das ganze organisatorische Konstrukt fragwürdig, da es dem Innenministerium untersteht. Wie soll eine Behörde für IT-Sicherheit von Firmen und Bürgern sorgen, wenn gleichermaßen das übergeordnete Ministerium Staatstrojaner, Vorratsdatenspeicherung, Verschlüsselungsumgehung, Hackbacks und anderes mehr einsetzen will. Das steht sich diametral entgegen (siehe Artikel von Constanze Kurz vom CCC bei netzpolitik.org). Nach mehreren Monaten (ein gutes 3/4 Jahr!) ohne Führung, soll das BSI nun ab 1.7. aber eine neue Chefin bekommen. Mit der Mathematikerin Claudia Plattner scheint zudem auch eine fachlich kompetente Führungsperson gefunden (siehe Artikel bei Netzpolitik.org). Dass die Stelle so lange, insbesondere in Zeiten verstärkter Cyberangriffe und staatlicher IT-Spionage, vakant blieb, zeigt einmal mehr, wie unbekümmert und blauäugig Deutschland politisch im IT-Bereich unterwegs ist.

Insgesamt kommt man nicht umhin zu denken, dass eine wirkliche Strategie für die digitale Souveränität Deutschlands und ihre Durchsetzung noch fehlt.

Die EU geht mit zwei neuen Gesetze weltweit neue Wege in der Regulierung digitaler Dienste

Doch es gibt auch positivere Entwicklungen. Am 1.11.2022 traten die ersten Vorschriften des sogenannten Gesetzes über digitale Märkte (Digital Markets Act – DMA) in Kraft. Ich hatte dazu und zu dem zwei Wochen später in Teilen inkraftgetretenen Gesetzes über digitale Dienste (Digital Services Act – DSA) schon hier kurz geschrieben.

Mit beiden Regelwerken sollen die Marktmacht einzelner Digitalkonzerne wie Google und Amazon gebrochen werden und auch die unfreiwillige Datenfreigabe der User und der Zwang zur Nutzung gewisser Dienste in einem Ökosystem unterbunden werden. Zudem verpflichtet das Gesetz große Plattformen dazu, Einblick in die Funktionsweise der verwendeten Algorithmen zu geben. Das war bisher nicht der Fall.
Darüberhinaus soll die Kontrolle von Inhalten (Text, als auch Software) strenger durch Plattformen geprüft werden müssen und Nutzer bekommen weitergehende Löschungsrechte und Entschädigungsrechte bei Fehlverhalten von Plattformen. Zuwiderhandlungen können mit empfindlichen Geldstrafen geahndet werden, was insbesondere auf die ganz großen Dienste abzielt. Insgesamt klingt es nach einer guten Entwicklung.

Bedenken hinischtlich der Bürgerrechte wegen dem hastig hinzugefügten „Krisenmechanismus“ im DSA

Einzig auf den letzten Metern vor Verabschiedung hat sich die EU Kommission beim DSA noch ein extra Verfahren (Crisis Response Mechanism) eingeräumt, dass einen faden Beigeschmack hat. Ziel war es wohl in Krisensituationen Desinformationskampagnen durch andere Staaten/Organisationen auf Plattformen zu unterbinden, allerdings ist nicht klar definiert, wann eine „Krise“ vorherrscht und was dann „gefährliche“ Inhalte sind, so dass die Meinungsfreiheit potentiell einfach eingeschränkt werden könnte (siehe auch eine Einordnung von Prof. Keber und Frau Widlok auf Tagesspiegel Background).

Insgesamt allerdings sind beides ambitionierte Gesetze, mit guten Absichten. Wie sich die Vorschriften dann in der Praxis auswirken, wird aber erst in diesem Jahr, wenn im Juni 2023 der DMA komplett in Kraft ist, und den Darauffolgenden zeigen (das DSA ist erst Februar 2024 vollständig anzuwenden). Nicht zuletzt müssen wahrscheinlich wie bei allen größeren und vor allem neuen gesetzlichen Regulierungen erst ein paar Jahre ins Land gehen, bis Gerichte die Auslegung einzelner Vorschriften auf konkrete Streitfälle geklärt haben. Gerade was die Definition der „Gatekeeper“-Rolle und der daraus resultierenden erhöhten Transparenzverpflichtung angeht, bin ich gespannt, wie Big Tech auf derartige Bescheide reagieren wird. Und auch wie sich Deutschland mit dem Austarieren zwischen Wirtschafts- und Verbraucherrechten und dem Durchsetzen der Rechte schlägt, wird interessant werden; bisher waren wir zumindest nicht die Speerspitze in Verbraucherbelangen.

Von Europa zurück nach Deutschland gibt es doch eine Neuigkeit die ich im Kontext von digitaler Souveränität als äußerst überraschend und sehr positiv empfinde. Deutschland hat einen Fonds aufgelegt, der Open Source Projekte unterstützen soll. Über die Vorteile von Open Source Software vs. proprietärer Dienste, hatte ich schon einmal hier geschrieben.

Staatliche Open Source Förderung zur Stärkung der Sicherheit und digitaler Souveränität

Deutschland und Open Source Förderung, wie passt das mit dem Rest und dem bisherigen Agieren im Digitalbereich zusammen? Ja das dachte ich auch im ersten Moment, aber tatsächlich betritt Deutschland damit Neuland; nur dieses Mal wirkliches Neuland und nicht gefühltes, weil die Entwicklung verschlafenes. Der Souvereign Tech Fund unterstützt seit Oktober letzten Jahres zunächst 10 Open Source Projekte finanziell, die äußert relevant für viele Digitalprodukte und die Internetkommunikation sind. Ziel ist es, die Menschen finanziell zu unterstützen, die diese Dienste ehrenamtlich pflegen, warten und weiterentwickeln. Ohne deren Arbeit würde heutzutage vieles nicht funktionieren, was an digitalen Annehmlichkeiten und Standardanwendungen vorhanden ist.

Unter diesen 10 Auserwählten sind Curl, das als Steurungspaket für den Netzwerktransfer in nahezu jeder Software enthalten ist, und OpenPGP & OpenMLS, das für die sichere Verschlüsselung von Emails bzw. Messengerkommunikation genutzt wird. Aber auch die anderen 7 sind nicht minder wichtig, um sicher im Internet als Mensch oder Software kommunizieren zu können.

Und selbst diese 10 sind nur ein kleiner Ausschnitt der immensen Vielfalt der Dienste, die die Open Source Community bereitstellt und ehrenamtlich pflegt und weiterentwickelt. Wie auch schon in diesem Beitrag geschrieben, fußen unendliche viele Programme auf kleineren (oder manchmal auch größeren) Open Source Bestandteilen, die wenn sie wegfielen, alles andere auch zu Fall brächten (siehe dieses Bild: https://xkcd.com/2347/). Was dann passiert, hat man vorletztes Jahr im Dezember besichtigen können, als ein Fehler in einem kleinen Java-Paket, ein Datenleck in mehreren Hunderten, oft auch kommerziellen Diensten (wie etwas iCloud), verursachte.

Open Source Projekte sind längst mehr als Geek-Hobbies, sondern haben wirtschaftliche und gesellschaftliche Bedeutung

Da nicht nur andere Open Source Enthusiasten derartige Pakete nutzen und ggf. auch daran mitwirken, sondern inzwischen auch viele Firmen Open Source Bestandteile in ihre kommerziellen Produkte integrieren, besteht für die gesamte Gesellschaft ein Problem, wenn diese Software ausfällt oder Sicherheitslecks hat. Insofern ist es wichtig sicherzustellen, dass nicht aufgrund fehlender finanzieller und dadurch / oder zeitlicher Kapazität die Instandhaltung & Fehlerbehebung solcher Pakete nicht vernachlässigt wird.

Hier setzt der Fonds an, um genau das zu unterstützen, was uns allen hilft und inzwischen relevant für die gesamte Gesellschaft geworden ist. Und auf diesem Weg geht Deutschland nun voran, denn Open Source Software entsteht länderübergreifend und daher wird auch die finanzielle Unterstützung durch den Fonds unabhängig von der Staatsangehörigkeit gewährt (siehe auch ein Artikel in der Zeit).

Insgesamt eine super Sache finde ich und hoffe, dass es zu einer Verlängerung und einem Ausbau der aktuellen Förderphase kommt. Mehr noch, braucht es eine länderübergreifende Verständigung über die Notwendigkeit einer solchen Förderung, die auch in konkreten finanziellen Verpflichtungen mündet. Dann sind Entwickler nicht mehr nur auf Spenden einzelner angewiesen, sondern können verlässlich finanziell planen. Und für mich als einzelnen Steuerzahler sind die aktuellen Beträge Peanuts, die auch gut angelegt sind (besser auf jeden Fall als in irgendwelchen Subventionen für alte Technologien).

In diesem Sinne: Deutschland scheint gerade durch die zahlreichen neuen Bedrohungen mit Pandemie und Krieg aus seinem digitalen Dornröschenschlaf aufzuwachen und gewisse Abhängigkeiten neu abzuwägen. Neben Lieferketten und Digitalhardware betrifft das aber auch die Software. Flankiert von der EU soll die Marktmacht der großen (zumeist amerikanischen) Plattformbetreiber zurückgedrängt werden und auch die IT-Sicherheit neu bewertet werden. Noch ist nicht absehbar wohin die Reise geht, aber dass Open Source zumindest in einem Pilotprojekt nun als das angesehen wird, was es ist – nämlich fundamental für die Gesellschaft und damit förderwürdig, stimmt hoffnungsvoll. Wenn dieses Jahr noch weitere Schritte in diese Richtung kommen, wird die digitale Souveränität der Gesellschaft nachhaltig gestärkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner