62 minute read
Digitalisierung im neuen Koalitionsvertrag .......................................... Seite
Zunächst seien hier aber einige Vorhaben erwähnt, die bereits etwas handfester wirken. So sollen alle Gesetze, wie im Vorfeld der Bundestagswahl von zahlreichen Expertinnen und Experten gefordert, zukünftig einem Digitalisierungscheck unterzogen werden. Hier geht es zum Beispiel darum, Digitalisierungshemmnisse wie die Schriftform durch eine Generalklausel abzubauen. Im Bereich der digitalen Verwaltung geben die Parteien im Koalitionsvertrag ein deutliches Bekenntnis zu Open Source ab: “Für öffentliche IT-Projekte schreiben wir offene Standards fest. Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht.” Im Bereich Cloud wird an der bereits von der alten Bundesregierung angestoßenen Multi-Cloud-Strategie (auch mit Hyperscalern) festgehalten. Dahingegen finden sich in dem Papier auch Versprechen, die nach Fortschritt klingen, aber zur genauen Bewertung einer weiteren Konkretisierung bedürfen. So soll ein “zentrales zusätzliches Digitalbudget” eingeführt werden. Nicht ersichtlich ist jedoch, wie viel Geld dieses Budget umfassen und wer über die Verwendung der Mittel entscheiden wird. Das Finanzministerium oder doch das Verkehrsministerium mit dem neuen Zusatz Digitales (beide FDP)? Denkbar wäre auch das Kanzleramt, schließlich soll das Budget “zentral” sein, also wahrscheinlich für alle Ressorts nutzbar. Relativ allgemein gehalten ist auch die Ankündigung, das Onlinezugangsgesetz (OZG) weiterzuentwickeln. Hierzu heißt es lediglich, es gehe in Richtung einer klaren Standardisierung und Vereinheitlichung. Im Bereich der Datenpolitik soll es ein “Datengesetz” geben, die genaue Ausgestaltung bleibt abzuwarten. Deutlich wird aber bereits, dass sich die Neu-Koalitionäre im Kontext Daten einiges vorgenommen haben. Ein Rechtsanspruch auf Open Data wird ebenso angekündigt wie ein neues Dateninstitut oder die Einführung der Strafbarkeit der rechtswidrigen De-Anonymisierung. Überhaupt sollen Wirtschaft, Wissenschaft und Zivilgesellschaft einfacheren Zugriff auf mehr Daten bekommen. Nicht nur mit Blick auf die Datennutzung stellt sich die Frage, wie die Koalition in das Verhältnis zwischen Digitalisierung und Bürgerinnen und Bürgern eingreifen will. Fest steht, dass die Kommunikationsregeln im Netz verschärft werden sollen. Im Koalitionsvertrag findet sich die Ankündigung von klaren Regelungen gegen Desinformation ebenso wie die Ankündigung für ein Gesetz gegen digitale Gewalt, durch welches rechtliche Hürden für Betroffene, zum Beispiel Lücken bei Auskunftsrechten, abgebaut und umfassende Beratungsangebote aufgesetzt werden sollen. Hinsichtlich digitalpolitischer Ziele, die konkret Bürgerinnen und Bürger betreffen, ist darüber hinaus auch die Frage interessant, wie künftig die Nutzung von bereits vorhandenen digitalen Verwaltungsdienstleistungen erhöht werden kann. Dass hier noch Luft nach oben besteht, hatte zuletzt unter anderem der “e-Government Monitor” der Initiative D21 gezeigt. Erwartungsgemäß betont der Koalitionsvertrag im Kapitel “Digitaler Staat und digitale Verwaltung” die Nutzerorientierung. Lohnenswert ist an dieser Stelle aber auch ein Blick in den Abschnitt über Gesundheit. Hier schreiben die Parteien, alle Bürgerinnen und Bürger bekämen unter Anwendung des Opt-out-Modells die elektronische Patientenakte (ePA) zur Verfügung gestellt. Heißt im Klartext: Wer die ePA nicht will, muss dem aktiv widersprechen. Mit dieser Regelung eröffnen sich die Parteien, obwohl sie es nicht im Koalitionsvertrag schreiben, auch die Möglichkeit, dass das Opt-out-Modell künftig auch bei digitalen Verwaltungsdienstleistungen Anwendung findet. Abschließend muss auch die Arbeitsweise der künftigen Bundesregierung im Bereich Digitales fokussiert werden. Eine der wenigen Informationen, die bereits vor Ende der Verhandlungen an die Öffentlichkeit gelangten, war, dass es kein eigenes Digitalministerium geben wird. Überraschend kommt aber, dass nun dem Verkehrsministerium das Thema Digitales zugeschlagen wird. Das Ressort wird FDP-Generalsekretär Volker Wissing übernehmen. Bisher war unter anderem spekuliert worden, dass das Thema Digitales im Wirtschaftsministerium angesiedelt wird. Auch über das Ministerium hinaus soll es Änderungen geben: “Aus der Föderalen IT-Kooperation (FITKO) machen wir eine agile, flexible Einheit mit einem mehrjährigen Globalbudget”, heißt es. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird unabhängiger aufgestellt, es soll laut den Plänen der Parteien die zentrale Stelle im IT-Sicherheitsbereich werden. Im Kontext IT-Sicherheit (mehr dazu auch auf Seite 50 dieser Ausgabe) fällt im Allgemeinen auf, dass die Ampel-Koalition mehr auf eine reaktive als auf eine aktive Vorgehensweise setzen will. Eine aktive Cyber-Abwehr (Hackback) wird ebenso abgelehnt wie das staatliche Ausnutzen von sogenannten “ZeroDay-Lücken”, die bisher unter anderem von der zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) beschafft und an Nachrichtendienste und Polizeibehörden weitergegeben wurden. Die ZITiS soll darüber hinaus auf eine Rechtsgrundlage gestellt werden. Hier wollen die Parteien also rote Linien deutlich formulieren und verbindlich machen. Zusammenfassend betrachtet stellt sich heraus, dass die Ampelkoalition gravierende Änderungen in der Cyber-Sicherheitspolitik plant. Insgesamt wird also deutlich: SPD, Grüne und FDP haben sich bei der Digitalisierung einiges vorgenommen. Enthalten ist vieles, was Expertinnen und Experten grundsätzlich für sinnvoll erachten. Ob die neue Bundesregierung die Digitalisierung in Deutschland wirklich voranbringt, hängt nun aber von der konkreten Umsetzung der Vorhaben ab. Dabei geht es nicht nur um die Geschwindigkeit der Umsetzung, sondern auch um die detaillierte Ausgestaltung der Vorschläge. Man darf also gespannt bleiben.
Die Spannung bleibt
Digitalisierung im neuen Koalitionsvertrag
(BS/Matthias Lorenz) Selten wurde die Vorstellung eines neuen Koalitionsvertrags in Deutschland mit so viel Spannung erwartet wie zu Beginn dieser Legislaturperiode. Das liegt vor allem daran, dass aus den Koalitionsverhandlungen zwischen SPD, Grünen und FDP bis zuletzt so gut wie keine Informationen nach außen drangen. Das Digitalisierungsthema bildet nun einen der Schwerpunkte des Ampel-Verhandlungsergebnisses. Die Spannung dürfte bei diesem Thema allerdings bleiben: Zwar kündigen die Parteien zahlreiche Beschleunigungen, Reformen und neue Gesetze an. Jedoch ist die konkrete Ausgestaltung vieler Vorhaben nach wie vor unklar.
Der Digitalcheck für Gesetze kommt. Andere Digital-Vorhaben der neuen Ampelkoalition bleiben allerdings im Ungefähren.
Foto: BS/Philip Neumann, pixabay.com
LawTracker® erleichtert tägliche Arbeit
(BS/Marian Möhren*) Die Digitalisierung der öffentlichen Verwaltung schreitet voran. Ab Ende 2022 müssen Bund, Länder und Kommunen ihre Verwaltungsleistungen den Bürgern auch online anbieten – eine massive Herausforderung. Digitalisierung vollzieht sich aber auch im Kleinen. Und sie beginnt überall dort, wo technische Tools die Arbeit von Verwaltungsmitarbeiterinnen und -mitarbeitern einfacher und schneller machen können.
Musterbeispiel Italien
Mehreinnahmen durch digitalen Kampf gegen Umsatzsteuerbetrug
(BS/Frances Noltekuhlemann/Karl Heinz Krug*) Die Koalitionsverhandlungen sind abgeschlossen, große Klimaschutz- und Digitalisierungsvorhaben sind geplant, doch über allem schwebt nach wie vor die Frage der Finanzierbarkeit. Der Koalitionsvertrag der Ampel stellt hierzu einen verstärkten Kampf gegen Steuerhinterziehung und Steuervermeidung in Aussicht. Einen konkreten Ansatzpunkt hierfür bietet die Umsatzsteuer. Sie betrug im Jahr 2020 in Deutschland rund 168 Mrd. Euro (2019: rund 183 Mrd. Euro). Schätzungen zufolge entsteht dabei durch Umsatzsteuerbetrug jährlich eine Steuerlücke in Höhe von über 20 Mrd. Euro.
Italien geht bereits heute erfolgreich gegen Umsatzsteuerbetrug vor. Durch die Digitalisierung der Umsatzsteuer und die Einführung eines UmsatzsteuerClearings durch die E-Rechnung konnte das Land seine Steuereinnahmen bereits 2019, im ersten Jahr der Einführung, um rund vier Mrd. Euro erhöhen. Die eingeführte elektronische Rechnungsstellungspflicht führte dazu, dass innerhalb Italiens ansässige Unternehmen elektronische Rechnungen erstellen müssen. Diese werden in einem vorgegebenen Datenformat (XML) über ein zentrales Rechnungsregister bei der Finanzverwaltung, worüber dann das UmsatzsteuerClearing erfolgt, an den Rechnungsempfänger übermittelt. Dieses Vorgehen ermöglicht der Finanzverwaltung unmittelbare elektronische Kontrollen und eine Reduzierung der Umsatzsteuerlücke.
Die Voraussetzungen sind da
Auch in Deutschland wäre ein solches Modell denkbar und die grundlegenden Voraussetzungen sind längst gegeben. Bereits heute stellen etwa 50 bis 70 Prozent der Unternehmen ihre Rechnungen elektronisch an den Staat (B2G). Auch zwischen Unternehmen (B2B) sind elektronische Rechnungsprozesse großflächig etabliert: Laut einer Umfrage des Branchenverbandes Bitkom nutzen schon jetzt 43 Prozent der Unternehmen entsprechende Prozesse und Schnittstellen. Dies entkräftet auch das oft vorgebrachte Argument, man wolle Unternehmen keine zusätzlichen Bürokratiepflichten und Investitionen aufbürden. Der Weg für einen Formatstandard ist in Europa schon bereitet, der Weg zu einer Einigung auf herstellerunabhängige technische Datenstandards nicht weit. Die Wirtschaft selbst hat sich längst mit elektronischen Rechnungsprozessen im Geschäftsleben arrangiert und weiß diese für eigene Prozessoptimierungen zu nutzen. Wie häufig im föderalen System müssen die Daten jedoch über die Bundesländer hinweg bzw. länderübergreifend vernetzt werden. Das Grundgesetz weist Kontrolle und Erhebung der Umsatzsteuer den Ländern zu. Eine zentrale Plattform bzw. ein Rechnungsregister mit Datenaustauschverfahren in den Ländern wäre der mögliche Weg. Der Bundesrechnungshof hat in seinem 2020er-Bericht “Maßnahmen zur Verbesserung der Umsatzsteuerbetrugsbekämpfung – Chancen der Digitalisierung nutzen” das Erfordernis einer verstärkten Nutzung von Technologie zur Erhöhung der Steuergerechtigkeit verdeutlicht. Clearing-Verfahren erfolgreich etablieren
Nun besteht nicht nur die Möglichkeit, sondern vielmehr auch die Notwendigkeit, diese Chance zu ergreifen. Denn nicht nur Italien, auch andere europäische Nachbarländer wie Polen, Frankreich und Griechenland machen sich auf den Weg, dem Umsatzsteuerbetrug durch Clearing-Verfahren offensiv entgegenzutreten. Spanien und Portugal wollen zumindest im ersten Schritt in Richtung Echtzeit-Reporting Betrug schneller erkennen und bekämpfen. Deutschland sollte hier nicht ins Hintertreffen geraten und so zum Sammelplatz von Umsatzsteuerbetrügern in Europa werden. Und auch für die Wirtschaft bringt das Vorgehen Nutzen mit sich: Durch vermeidbare Umsatzsteueraußenprüfungen und damit weitere Entbürokratisierung kommen die Vorteile dieses Vorgehens unmittelbar und schnell in der Wirtschaft an. Die Finanzverwaltung wiederum kann ihre Ressourcen auf andere Fokusbereiche lenken.
*Frances Noltekuhlemann arbeitet bei Capgemini Invent. Karl Heinz Krug ist für Capgemini tätig. Capgemini ist ein internationales Beratungs- und Technologieunternehmen und führender Anbieter von IT-Lösungen für die öffentliche Verwaltung. LawTracker von Wolters Kluwer ist genauso ein Tool. Schriftsätze, Gutachten oder Verträge – zahlreiche Dokumente erreichen Beschäftigte in der öffentlichen Verwaltung heute digital, meist in Form von PDF-Dateien. Häufig wird darin auf Gesetze, Rechtsprechung, Literatur oder Gesetzesmaterialien verwiesen. Geht es nun darum, Fundstellen wie Normen und Aktenzeichen zu überprüfen, müssen diese in der Regel per Copy & Paste in eine digitale Recherchedatenbank übertragen werden. Das ist bei der Vielzahl an Dokumenten und Zitierungen umständlich und kostet Zeit. Hier setzt Wolters Kluwer mit LawTracker an. Angelegt als Plugin für die PDF-Software Adobe Reader erlaubt LawTracker die juristische Recherche erstmals direkt aus einem PDF heraus – ohne eine Recherchedatenbank extra aufzurufen, ohne das Wechseln zwischen Dokument und Browser, ohne Copy & Paste. Das Plug-in erkennt Paragrafen, Aktenzeichen und Literaturhinweise automatisch und führt den Nutzer direkt zur Quelle: Per Doppelklick auf die Referenz öffnet sich das gewünschte Dokument in Wolters Kluwer Online. Außerdem können beliebige Textpassagen im PDF markiert und in Wolters Kluwer Online übertragen werden, wo dann eine entsprechende Suche ausgelöst wird. Und was, wenn die nötige Referenz nicht explizit im Dokument vorkommt? Auch dafür bietet LawTracker eine Lösung: Nutzerinnen und Nutzer können Schlagwörter direkt in die LawTracker-Suchmaske im Adobe Reader eingeben – alle relevanten Treffer werden in Wolters Kluwer Online angezeigt. “Der wesentliche Vorteil von LawTracker ist, dass sich Rechtsinformationen unmittelbar aus dem zu bearbeitenden Dokument ansteuern lassen, sodass der Arbeitsfluss nicht unterbrochen werden muss”, betont Uwe Kalkuhl, Business Manager Public Digital bei Wolters Kluwer Deutschland. Zeitersparnis und gesteigerte Effizienz bei der Bearbeitung von Verwaltungsangelegenheiten haben nach Überzeugung der Entwickler zudem den positiven Effekt, dass digitales Arbeiten attraktiver wird. Rechtsinformationen werden häufiger nachgelesen und im Ergebnis entsteht mehr Rechtssicherheit bei Entscheidungen. “LawTracker ist das ideale Tool, um die tägliche Arbeit mit PDF-Dokumenten einfacher und flexibler zu gestalten”, zeigt sich Kalkuhl überzeugt. LawTracker ist über die Seite wolterskluwer.com/lawtracker abrufbar. Das Plug-in lässt sich intuitiv von überall bedienen und ist damit sofort einsetzbar. Bis zum 31. März 2022 können Nutzer LawTracker unverbindlich und kostenlos testen; nötig ist dazu nur eine Registrierung auf Wolters Kluwer Online.
Strahlende Gesichter sind mit der Nutzung des LawTrackers für die juristische Recherche erstmals direkt aus einem PDF heraus garantiert. Foto: BS/Wolters Kluwer
*Marian Möhren ist Senior Technology Product Manager bei Wolters Kluwer.
Behörden Spiegel: In Ihrem Neun-Punkte-Plan für ein digitales Deutschland heißt es, dass Sie Herstellerunabhängigkeit auch insbesondere durch Open-Source-Software (OS) sicherstellen wollen. Wie kann OS Herstellerunabhängigkeit sichern und wie weit ist Ihr Plan in diesem Kontext fortgeschritten?
Kein Erkenntnisproblem
Bundes-CIO Dr. Richter im Interview zu Open Source
(BS) Noch immer sind die Produkte großer IT-Firmen, meist aus den USA, in der öffentlichen Verwaltung an der Tagesordnung. Der vermehrte Einsatz von Open Source (OS) könnte hier einen Weg zu mehr Unabhängigkeit darstellen. Welchen Blick der Bundes-CIO Dr. Markus Richter auf Open Source hat, erklärt der Staatssekretär aus dem Bundesministerium des Innern, für Bau und Heimat im Interview. Die Fragen stellte Matthias Lorenz.
Dr. Markus Richter: Es wurden bereits wichtige Meilensteine erreicht. Zum Beispiel haben wir gemeinsam mit NRW und Baden-Württemberg eine Plattform geschaffen, auf der sich ein Code Repository befindet, weil es wichtig ist, öffentliche Codes dort, wo sie entstehen, auch wirklich öffentlich zu stellen. Dies geschieht unter dem Dach des Zentrums für digitale Souveränität, welches sich aktuell in der Gründung befindet. Dort soll ein Arbeitsmuskel entstehen, der dafür sorgt, dass Open Source auch wirklich in der Verwaltung ankommt. Wir stehen nämlich vor keinem Erkenntnisproblem, sondern vor allem vor einer Umsetzungsherausforderung. Des Weiteren geht es auch darum, mit Start-ups und kleinen mittelständischen Unternehmen zusammenzuarbeiten und technische Standards zu etablieren. Am Ende des Tages wollen wir Herstellerunabhängigkeiten erzielen und Lock-in-Effekte reduzieren. Behörden Spiegel: Trotzdem hat der Bund im Februar 2021 neue Rahmenverträge mit Microsoft geschlossen, einer Firma, die wie kaum eine andere für proprietäre Software steht. Wie passt das mit Ihren OS-Vorhaben zusammen? Behörden Spiegel: Wie genau soll die übergelagerte Applikationsschicht aussehen, von der Sie eben sprachen?
“Es ist wichtig, öffentDr. Richter: Diese Applikaliche Codes dort, wo sie tionsschicht entstehen, auch wirklich soll den öffentlich zu stellen. ” Wechsel von einem CloudProvider zum anderen möglich machen. Es handelt sich hierbei um eine Art Standardisierungsschicht. In dieser Schicht soll ein CloudService-Portal, vergleichbar mit einem App Store, entstehen. Darüber können Services aus den verschiedenen Clouds durch die verschiedenen föderalen Ebenen abgerufen werden. Benötigen die Behörden einen Service, werden sie sich an dieses Portal wenden, das dann den Zugang organisiert. So wollen wir vermeiden, dass jetzt jede Verwaltungseinheit selbst auf einen Hyperscaler oder eine eigene Lösung zugreift und dadurch faktisch Lock-inEffekte vergrößert werden. Hierfür wollen wir eine koordinierende Betriebsentität schaffen. Zusammenfassend könnte man also sagen, dass wir Souveränität vor allem durch die starke, übergreifende Administration der verschiedenen Cloud-Lösungen erzielen wollen.
Dr. Richter: Das eine schließt das andere nicht aus. Wir wollen nicht gegen Unternehmen arbeiten, im Gegenteil: Bei Souveränität geht es vor allem darum, mehr Optionen zu generieren. Ohnehin wäre es kurzfristig nicht realisierbar und illusorisch, zu sagen, wir machen uns frei von allen Hyperscalern. Vielmehr verfolgen wir ein klares Zielbild, unter anderem durch gemeinsame architekturelle Eckpunkte mit den Bundesländern, welche die Auftraggeberfähigkeit des Public Sectors erhöhen und klar unsere Vorstellungen beschreiben. Mit diesem Vorgehen ist Deutschland nicht allein, zum Beispiel geht Frankreich einen ganz ähnlichen Weg: Nicht einseitig verbieten, sondern durch Open Source mehr Optionen generieren. Ein Beispiel ist hier die multiple Cloud-Infrastruktur.
Behörden Spiegel: Wie finden Sie denn die Multi-CloudStrategie der Bundesregierung? Wäre es nicht besser, beim Thema Cloud voll auf OS zu setzen?
Dr. Richter: Diese Strategie, der ja alle Bundesressorts und die Länder zugestimmt haben, finde ich genau richtig. Wir werden uns langfristig daran gewöhnen, dass es eine hybride Cloud-Struktur, eben eine Multi-Cloud gibt. Dort werden sowohl Hyperscaler als auch Open-Source-Lösungen mit Stacks vertreten sein. Das Entscheidende aus meiner Sicht ist aber, dass wir über der eigentlichen Infrastruktur eine Applikationsschicht haben, die es uns ermöglicht, Lock-in-Effekte dadurch zu vermeiden, dass Services auf verschiedenen dieser einzelnen Stackes lauffähig werden. Das reduziert Abhängigkeiten, schafft Flexibilität und versetzt uns in die Lage, auch mal von einem Stack zum anderen zu migrieren. Unser Vorgehen, zum Beispiel im Hinblick auf nicht zu überschreitende rote Linien, ähnelt sehr stark Gaia-X. Deswegen ist es durchaus vorstellbar, dass einige der Stacks, die sich in unserer Multi-Cloud wiederfinden, auch bei Gaia-X verortet sind. Bei den roten Linien handelt es sich nicht nur um technische Vorgaben, sondern auch um die Regel, dass der europäische Rechtsrahmen berücksichtigt werden muss. Behörden Spiegel: Wie sieht der Zeitplan im Cloud-Bereich nun aus? Dr. Richter: Unsere Ambition ist, dass wir jetzt in den nächsten ein bis zwei Jahren bei der Architektur deutliche Schritte nach vorne ma chen. Schließlich müssen auch die Hyperscaler, die künftig in diesem Konstrukt Lösungen anbieten wollen, eine souveräne Cloud etablieren. Bis die Hyperscaler diese Infrastruktur in Deutschland aufgebaut haben, werden voraussichtlich auch ein bis zwei Jahre vergehen. Diese Zeit müssen wir dazu nutzen, unsere Entität und unsere Governance zu etablieren, damit wir dann die Struktur haben, welche die Souveränität befördert.
Open Source bedeutet laut Definition der Free Software Foundation Europe, dass der Quellcode einer Software frei gelesen, verwendet, verbreitet und verbessert werden kann. Foto: BS/Gerd Altmann, pixabay.com
Behörden Spiegel: Wie kann man die Verwaltung denn generell dazu bringen, mehr auf Open CIOs aus neun Bundesländern haben Sie Mitte September eine Absichtserklärung zur Erarbeitung eines “souveränen Arbeitsplatzes” unterzeichnet. Worum geht es da genau?
Dr. Richter: Zunächst möchte ich betonen, dass wir in Deutschland verteilte Zuständigkeiten haben und nicht eben nur einen CIO, der alles von oben bestimmen kann. Da ist es wichtig, mit einer Stimme zu
sprechen. In diesem Kontext ist auch diese Initiative zu sehen, bei der es darum geht, dass wir gemeinsam diesen Arbeitsplatz nicht nur entwickeln, sondern vor allem auch einsetzen wollen. Deswegen freue ich mich, dass die Länder da gemeinschaftlich an einem Strang ziehen und den Arbeitsplatz auch bei sich einsetzen wollen. Der Arbeitsplatz soll ja nicht nur für die Bundes-, sondern auch für die Landes- und die kommunale Ebene sein.
Bei Open Source gehe es vor allem darum, mehr Optionen für die öffentliche Verwaltung zu generieren, erklärt Bundes-CIO Dr. Markus Richter im großen Behörden Spiegel-Interview.
Foto: BS/Henning Schacht, BMI
Source zu setzen? Müssten hierfür nicht Prinzipien wie “Open Source first” oder sogar “Open Source only” gesetzlich verankert werden?
Dr. Richter: “Open Source only” halte ich nicht für realistisch. Aber wir brauchen Architekturvorgaben, die für die ganze Bundesverwaltung gelten. Ein guter Aufschlag für die neue Bundesregierung könnte sein, ein solches Architekturboard zu schaffen. Hierfür haben wir bereits Eckpunkte zusammen mit den Bundesländern verabschiedet. Nun muss es eine Einheit geben, die auch ein Portfoliomanagement im Blick hat, sodass verwendete Lösungen und Produkte gesehen werden können. Schließlich soll verhindert werden, das Dinge doppelt und dreifach eingekauft und verwendet werden. Ein sehr gutes Beispiel ist der Open-SourceArbeitsplatz von Dataport, der bis Jahresende sukzessive in den Betrieb geht. Deren Lösung überzeugt absolut, sie muss jetzt in unserem Rechenzentrum lauffähig gemacht werden. Daran wird gerade mit einem engen Zeitplan gearbeitet. Behörden Spiegel: Wird das von Ihnen bereits erwähnte Dataport-Projekt Phoenix die Basis für diesen Arbeitsplatz sein?
Dr. Richter: Absolut. Die Entwicklungsarbeiten, die bei Phoenix gemacht wurden und sehr fortgeschritten sind, müssen jetzt in die praktische Umsetzung gebracht werden. Dazu gehört, dass wir sie produktiv setzen. Wir haben bereits viele Verwaltungseinheiten, die den Arbeitsplatz testen und uns positive Rückmeldungen gegeben haben. Jetzt geht es darum, dass das Projekt in sicheren Umgebungen skalieren kann. An dieser Wegscheide befinden wir uns aktuell. Ich finde es gut, dass diese Skalierung nicht nur beim ITZBund, sondern auch in den entsprechenden Landesrechenzentren laufen soll.
Behörden Spiegel: Rechnen Sie denn damit, dass noch weitere Länder dazustoßen werden oder haben Sie Sorge, dass es zu parallelen Entwicklungen in dem Bereich kommt?
Dr. Richter: Nein, da habe ich keine Sorge. Die bessere Lösung wird überzeugen und dann voraussichtlich auch noch mehr Nutzende finden. Davon bin ich
Behörden Spiegel: Ich würde gerne das Stichwort Arbeitsplatz aufgreifen. Zusammen mit den fest überzeugt. Es ist ein sehr gutes Zeichen, dass wir gleich von Anfang an mit so vielen Ländern starten, denn das ist eher ungewöhnlich. Normalerweise, das kennen wir vom Prinzip Einer für alle, machen erst mal zwei, drei Bundesländer mit und dann skaliert die Lösung weiter. Doch hier sind wir von Anfang an in dieser größeren Zahl unterwegs.
Behörden Spiegel: Lassen Sie uns zum Schluss noch auf das Thema Open Source und IT-Sicherheit zu sprechen kommen. Würden Sie der Aussage zustimmen, dass Open Source grundsätzlich sicherer ist als proprietäre Software?
Dr. Richter: Nein, so pauschal kann man das nicht sagen. Es muss immer beachtet werden, wie die proprietäre Software entstanden ist. Aber hinter dem Open-Source-Gedanken steckt mehr als nur eine reine Open-Source-IT-Lösung. Es geht darum, dass wir Angriffsmöglichkeiten zum Beispiel durch die Beteiligung der Community reduzieren. Open Source kann von der Öffentlichkeit und der Community auch kritisch untersucht und bewertet werden. Genau dieser Open-Source-Gedanke der Community-Einbindung ist die Zukunft, wenn es darum geht, Sicherheitslücken aufzuzeigen. Dafür braucht es diese Expertise.
Behörden Spiegel: Wie kann denn der Staat eine solche Community entsprechend einbinden?
Dr. Richter: Hier kommt es immer etwas auf die Sparte an, in der gerade Digitalisierung betrieben und eine Software eingesetzt wird. Aber es gibt eben eine starke Community mit Expertenwissen in verschiedenen Bereichen. Die gilt es, strukturierter einzubinden. Ein Beispiel ist der Chaos Computer Club, mit dem ich im Rahmen der Corona-Warn-App persönlich hervorragende Erfahrungen gemacht habe. Hier haben wir frühzeitig Dinge transparent gemacht und uns die Fachexpertise eingeholt. Es kamen viele sehr wichtige Hinweise, die uns im weiteren Verlauf geholfen haben. Natürlich hilft es auch in der Akzeptanz beim Nutzenden, wenn Expertinnen und Experten sagen: Wir haben uns die Lösung angeguckt, sie funktioniert und ist sicher. Das sind die Aussagen, die wir generieren müssen. Diese Aussagen fallen aber nicht vom Himmel, sondern erfordern eine enge Kommunikation, die wir genauso wie die User-Zentrierung, den Datenschutz und Security by Design von Anfang an mitdenken müssen. Je früher das im Projektverlauf stattfindet, umso größer sind die Erfolgschancen.
Für acht von zehn Unternehmen hat Digitalisierung durch Corona an Bedeutung gewonnen, sagt eine repräsentative Studie des Digitalverbands Bitkom. Quer durch alle Branchen wurden eiligst Wege der digitalen Zusammenarbeit gefunden – mit unterschiedlichem Erfolg. Hand aufs Herz: Auch die BWI hatte die Anforderungen, die die Pandemie an unsere digitale Transformation stellt, in diesem Ausmaß nicht vorhergesehen. Die schnelle Reaktion, die wegen der pandemischen Lage im Frühjahr 2020 nötig war, hat aber bewiesen: Wir waren bereit dafür. Von heute auf morgen konnten wir rund 80 Prozent unserer Belegschaft ins Homeoffi ce schicken und von dort aus ihre gewohnte Arbeit machen lassen.
Erfolgsfaktor: hoher Reifegrad
Kollaboration ohne physische Nähe, Führen auf Dis tanz, Onboarding neuer Mitarbeiter/-innen aus dem Homeoffi ce, sogar die virtuelle Kaffeepause: Dass das gut funktioniert, ist keineswegs selbstverständlich. Der Erfolgsfaktor: ein hoher Reifegrad in puncto digitaler Transformation. Und das bezieht sich keineswegs nur auf die technische Infrastruktur. Zwar müssen einsatzfähige
Booster in der Pandemie
von Martin Kaloudis
Martin Kaloudis ist Chief Executive Offi cer (CEO) und Vorsitzender der Geschäftsführung der BWI GmbH, des ITSystemhauses der Bun-
deswehr. Foto: BS/BWI
Mobilgeräte, Tools und Technik für die Zusammenarbeit auf Distanz parat stehen und ohne eine ausreichende Internetbandbreite geht auch nichts. Wichtig sind aber auch eine hohe Digitalkompetenz, die Akzeptanz neuer Technologien als Ersatz für Althergebrachtes – und die Bereitschaft, dazuzulernen. Diese Fähigkeiten ermöglichen es uns, trotz der Einschränkungen positiv mit der Lage umzugehen und leistungsstark für unsere Kunden zu bleiben. Natürlich ist auch eine funktionierende digitale Zusammenarbeit kein vollständiger Ausgleich für das, was uns durch die aktuellen Restriktionen fehlt: Das Zwischenmenschliche, das Technik nicht ersetzen kann. Daher ist klar: Wenn es wieder möglich ist, mehr Nähe und Präsenz zuzulassen, werden wir das tun. Doch wir nutzen das in der Pandemie entstandene Momentum und unsere Erfahrungen, um strategisch geplant, systematisch und strukturiert neue Formen der Zusammenarbeit zu etablieren, die gut für uns, für unsere Mitarbeitenden und für unsere Kunden sind. So stellen wir uns zukunftsfähig auf – jetzt und erst recht nach der Pandemie. Hybride Arbeitsmodelle, die sowohl Telearbeit als auch das Zusammenkommen im Büro ermöglichen, machen uns agil, fl exibel und reaktionsschnell. Wir müssen künftig weniger pendeln und können unsere Zeit produktiver nutzen. Wir brauchen nicht mehr so viele Bürofl ächen und stationäre Infrastruktur, weil nicht mehr alle jeden Tag ins Büro kommen. Wir haben volles Vertrauen in unsere Mitarbeitenden: Das Ergebnis steht im Vordergrund, nicht ihre Anwesenheit. Und wenn wir lange Fahrten zu Geschäftsreisen durch Videokonferenzen ersetzen, spart das in Zukunft Reisekosten und ist zudem gut für die Umwelt.
Impulse für die Zukunftsfähigkeit
Trotz aller negativen Auswirkungen der Pandemie können wir sagen: Sie ist ein Booster für die digitale Transformation über alle Branchen hinweg und gibt Impulse für die Zukunftsfähigkeit unserer Arbeits- und Lebensmodelle. Sie hat uns deutlich vor Augen geführt: Um gut vorbereitet zu sein, ist es wichtig, von der Krise her zu denken. Nur so lassen sich die richtigen Schritte planen, um auch in Ausnahmesituationen fl exibel und agil agieren zu können. Nur wer kontinuierlich sowohl in eine stabile IT-Infrastruktur als auch in die nötige Digitalkompetenz investiert, ist auch für kommende Herausforderungen gewappnet.
…sollte das Motto der OZG-Umsetzung lauten
(BS/Richard Bürmann) Das OZG stellt die Verwaltung vor große Herausforderungen. Eine zögerliche Umsetzung ist aber kaum zu rechtfertigen. Schließlich sind Front-End-Applikationen, die den Bürgerservice unmittelbar und nachhaltig verbessern, schnell realisierbar.
Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (OZG) verpfl ichtet Bund und Länder, bis Ende 2022 wesentliche Verwaltungsleistungen digital über Verwaltungsportale anzubieten. Bei der Planung und Umsetzung müssen zahlreiche Aspekte berücksichtigt werden, z. B. Usability und Barrierefreiheit, gesetzliche Fristen, Sicherheitsanforderungen und IT-Rahmenbedingungen. Dies konfrontiert die Verwaltung mit erheblichen Herausforderungen. Alle Bürgerservices bis Ende 2022 digital anzubieten, dürfte eine Wunschvorstellung bleiben. In Resignation zu verfallen, ist aber auch keine Alternative. Stattdessen gilt es, unmittelbar zu starten. Dabei sollte mit den Verwaltungsleistungen begonnen werden, die am wichtigsten sind und den Bürgerinnen und Bürgern am meisten zugutekommen. Schließlich geht es im Gesetz um sie und – nicht zu vergessen – auch um Unternehmen.
Für die OZG-Umsetzung ist eine herkömmliche Vorgehensweise bei der Softwareentwicklung nicht unbedingt zielführend. Beim konventionellen Wasserfallmodell werden die Anforderungen bereits in einer längeren Planungsphase möglichst exakt bestimmt. Da dieses Modell aber weder schnell noch fl exibel ist, kann nicht kurzfristig auf geänderte Anforderungen reagiert werden, etwa auf neue gesetzliche Vorgaben oder Nutzerfeedback. Um die Entwicklungsdauer zu verkürzen, ist es auch nicht vorgesehen, die Analyse der Anforderungen und die Umsetzung zu parallelisieren. Der agile Ansatz stellt die Beteiligten mit ihren fachlichen Anforderungen in den Mittelpunkt und liefert frühzeitige Zwischenergebnisse. Hierzu werden agile Projekte in Iterationen von zwei bis vier Wochen strukturiert. Das Ziel einer jeden Iteration ist ein funktionsfähiges Zwischenprodukt, das von Fachanwendern hinsichtlich Feature-Umsetzung getestet wird. So können schnell Fehler behoben oder funktionale Erweiterungen angestoßen werden. Jedes qualitätsgesicherte Zwischenprodukt dient als Planungsgrundlage für die nächste Iteration. CGI hat hier bereits mit vielen nationalen Bundesministerien und -behörden bei Register- und Anwendungslösungen zusammengearbeitet. Durch parallele Analyse- und Implementierungsphasen wurden Projektlaufzeiten deutlich verkürzt, obwohl sich Rahmenbedingungen teils im Laufe des Projekts änderten. Dieses in Sprints angelegte Vorgehen ermöglichte die Bereitstellung von passgenauen Lösungen. Frühzeitige Einbindung von UI-Designern
Ein entscheidender Aspekt bei der OZG-Umsetzung ist die frühzeitige Einbindung von UI-Designern, die bereits beim Backlog-Aufbau die optimale Bedienung einer Anwendung adressieren. Das FrontEnds sollte stets im Vordergrund stehen, um schnell Ergebnisse zu erzielen, die “den Bürger glücklich machen”. Die Digitalisierung der Verwaltungsprozesse muss somit vor allem aus Sicht der Nutzer erfolgen. Erst danach sollte die Digitalisierung der Back-End-Systeme in Angriff genommen werden, etwa mit der Integration von Altsystemen und der Beseitigung von Medienbrüchen. Voraussetzung für diesen Erfolg ist, dass die Projektteilnehmer ein gemeinsames Ziel vor Augen haben und eine offene Kommunikationskultur leben. Dafür muss auch die Kommunikation innerhalb der Behörde enger werden, gerade auch zwischen IT und Fachbereichen.
Richard Bürmann ist Senior Vice President Consulting Services bei CGI.
Agile Transformationsprojekte im OZG-Umfeld erfordern unter Umständen auch externe Unterstützung. Basierend auf zahlreichen Erfahrungen auf Bundes- und Landesebene bietet CGI hier umfassende Dienstleistungen an: vom Anforderungs- und Projektmanagement ü ber das Lösungsdesign, die Softwareentwicklung und Implementierung bis hin zum Betrieb.
Aktivitäten beschleunigen
Bereits heute ist absehbar, dass die Zielvorgabe der geplanten “OZG-Konformität” bis Ende 2022 nicht vollständig umsetzbar ist. Es ist aber auch kein Grund, Projekte auf die lange Bank zu schieben. Die Erwartungshaltung der Bürgerinnen und Bürger ist schließlich hoch. Folglich sollten Bund sowie Länder ihre Aktivitäten beschleunigen und konkrete Projekte vorantreiben – und damit den Startschuss für eine lange Digitalisierungsreise geben.
MELDUNG ITDZ Berlin verpflichtet sich zu Klimaschutz
(BS/gg) Berlins Staatssekretär für Umwelt und Klimaschutz, Stefan Tidow, und der Vorstand des ITDZ Berlin, Marc Böttcher, haben eine Klimaschutzvereinbarung unterzeichnet. Darin verpfl ichtet sich das ITDZ Berlin bis 2030 zu einer Einsparung seiner direkten CO2-Emissionen von 33 Prozent gegenüber dem Jahr 2019. Verbleibende direkte Emissionen sollen kompensiert werden. Indirekte CO2-Emissionen, die bei der Erzeugung gelieferter Energieträger entstehen, sollen bis 2030 um mindestens 13 Prozent reduziert werden. Ein Maßnahmenkatalog umfasst neben baulichen und technischen Maßnahmen, etwa der Optimierung des Kühlungssystems in den Rechenzentren, auch den Einsatz erneuerbarer und CO2-neutraler Energiesysteme. Außerhalb des IT-Betriebs werden Lösungen wie die Umstellung der Dienstfahrzeuge auf E-Autos und das Angebot von Dienstfahrrädern weiter ausgebaut und ergänzt.
Behörden Spiegel: Sie sind zwei der vier internen Multiplikator(inn)en für das BIProjekt bei der Stadt Flensburg. Was sind Ihre Aufgaben, wie sehen Sie Ihre Rolle?
Ein Kulturthema
Einführung eines BI-Tools bei der Stadt Flensburg
Carstensen: Wir sind jeweils in unserem Fachbereich tätig und kennen damit die Aufgaben des Bereichs und die Erwartungen an ein BI-Tool. Daher bilden wir “die Brücke” zwischen Fachbereich und dem BI-Team, das sich rein technisch mit dem Tool, dem Einspielen der Daten und dem Entwickeln von Dashboards beschäftigt. Hierfür haben wir ein internes Team und arbeiten mit dem IT-Dienstleister Akquinet zusammen. Als Multiplikator(inn) en kümmern wir uns darum, zu klären, welche Daten aus unserem Fachbereich initial in das BI-Tool eingespielt werden und wie das geschieht. Zudem promoten wir das BI-Projekt in unserem Team und vermitteln zwischen den Anforderungen der Bereiche und technischen Möglichkeiten.
Hellwig: Dazu holen wir uns auch häufig Feedback der Fachbereiche ein, beispielsweise zu den Dashboards. Das geben wir anschließend an das BI-Team weiter, damit das BI-Tool wirklich nach den Wünschen der Fachbereiche entwickelt wird.
Behörden Spiegel: Wie reagieren die Kolleg(inn)en denn, wenn sie diese Dashboards gezeigt bekommen?
Arne Hellwig: Neulich habe ich in der Dienstbesprechung den Stand der Dashboards für unseren Fachbereich gezeigt. Das Team konnte konkret sehen, wie sich die Daten über einen Klick filtern und sortieren lassen, beispielsweise die Schüler/-innen-Zahlen nach Jahren oder Stadtteilen. Durch solche Beispiele wächst das Interesse an dem BI-Tool deutlich an, weil man sieht, wie es die tägliche Arbeit erleichtert und verbessert. Es wird anfassbar.
(BS) Die Verwaltung der Stadt Flensburg führt momentan eine zentrale Business-Intelligence-Plattform ein. Damit soll eine zentrale und digitale Datenablage geschaffen werden, auf die zukünftig alle Abteilungen und Fachbereiche zugreifen können. Das Projekt wird über das Förderprogramm mFUND des BMVI unterstützt und mit ca. 1,3 Millionen Euro gefördert (Förderlinie 2/Datenzugang/Projekt BI-F2022). Der Behörden Spiegel hat mit zwei Projektbeteiligten aus den Bereichen Verkehr und Bildung, Sport, Kultur der Stadtverwaltung Flensburg über die Einführung gesprochen.
Arne Hellwig arbeitet bei der Stadt Flensburg im Fachbereich “Bildung, Sport, Kultur”, Johanna Carstensen ist im Bereich der Verkehrsentwicklungsplanung tätig. Foto: BS/Stadt Flensburg
Behörden Spiegel: Welche Daten sind aktuell in dem BI-Tool?
Carstensen: Wir haben zunächst unsere Verkehrsmessungen eingegeben. Wegen verschiedener Messmethoden lagen sie bisher unstrukturiert vor. Im Team gab es nur eine Person, die Experte für diesen Datenpool war und je nach Anfragen Auswertungen erstellt hat. Da diese Daten jetzt im BI-Tool sind, ist das Wissen für alle leicht nutzbar. Auswertungen können selbstständig erstellt werden. Perspektivisch könnten wir diese Daten auch den Bürger/-innen bereitstellen. Denkbar wäre es auch, externe Daten ins BI-Tool einzuspielen, wie zum Beispiel vom ÖPNV, Car- und Bikesharing oder von EScooter-Verleihern. Diese Ideen entstanden über eine Umfrage in unserem Fachbereich.
BOS-Branchentreffen
Critical Communications Community tagt in Madrid
(BS/Dr. Barbara Held) Zur TCCA-Jahresveranstaltung der “Critical Communications Community” kamen Anfang November nicht nur internationale Hersteller und Dienstleister in die spanische Hauptstadt, sondern auch zahlreiche Vertreter der europäischen BOS-Digitalfunk-Betreiber.
Die Wiedersehensfreude war dem TCCA-CEO Mladen Vratonjic bei seiner Eröffnungsrede auf der Critical Communications World (CCWorld) 2021 ins Gesicht geschrieben: “Es ist so schön, Euch alle wiederzusehen!” Nach zwei Jahren Corona-bedingter Abstinenz hatte die TCCA (The Critical Communications Association) die internationale Community der kritischen Kommunikation zur Jahreskonferenz und -ausstellung auf die Madrider Messe geladen. Mit über 2.000 Besuchern plus rund 560 Ausstellern war die Veranstaltung zwar weniger als halb so groß als die Vorgänger der letzten Jahre, aber eine freudige Stimmung überwog allenthalben. Der Online-Stream der hybriden Veranstaltung blieb mit rund 560 Teilnehmenden demgegenüber recht übersichtlich. Vor Ort teilten die meisten die Auffassung von CEO Vratonjic, dass “die besten Ideen dann entstehen, wenn wir zusammensitzen und reden”.
Unterschiedliche Breitband-Strategien
Und gute Ideen braucht die Branche. Das machte die internationale Rundschau unter den öffentlichen BOS-Digitalfunkbetreibern deutlich. Die vor zwei Jahren wahrnehmbare allgemeine Aufbruchstimmung Richtung Breitband und 5G-Dienste hat sich seitdem mit dem Eintritt in die Planungs- und beginnende Umsetzungsphase in eine Vielzahl von nationalen Konzepten und Zukunftsplänen aufgelöst, die mit unterschiedlichen politischen, legalen, finanziellen und organisatorischen Problemen zu kämpfen haben. Entsprechend divers fallen auch nationale Lösungen und Roadmaps aus. Das Gastgeberland Spanien war nicht nur durch hochrangige Beamte aus den zentralen Ministerien und Behörden vertreten, sondern auch durch die Betreiber von BOS-Netzen in Regionen wie Katalonien oder dem Baskenland. Obwohl die spanischen BOS schon vor drei Jahren zwei Mal zehn MHZ nationales Spektrum im 700-MHz-Bereich erhielten, kommt der Breitbandausbau nur mühsam voran. Hauptursache ist die organisatorische wie regionale Zersplitterung der spanischen BOS. So konnte Enrique Belda, im spanischen Innenministerium zuständig für BOS-Kommunikation, zwar von der erfolgreich abgeschlossenen Ausschreibung für den Breitbandausbau und -betrieb berichten, gleichzeitig warb er aber mit deutlichen Worten um mehr interinstitutionelle Zusammenarbeit.
Viel persönlicher Austausch fand im “Government Authorities’ Global Village” statt, auf dessen Gemeinschaftstand u. a. auch Frankreich, Belgien, die Niederlande, Dänemark und Norwegen kleine Sitzecken betrieben. Foto: BS/CCWorld
Vorreiter auf kommerzieller Basis
BOS-Breitband-Vorreiter Finnland trat wie schon in den letzten Jahren gemeinsam mit VIRVECEO Jarmo Vinkvist in Mannschaftsstärke auf und brachte auch gleich noch die entsprechenden Hersteller und Dienstleister mit. Jarmo Vinkvist und Kollegen schilderten den nach erfolgreicher Vergabe bereits laufenden Ausbau von Kern- und Zugangsnetz der künftigen BOSBreitband-Dienste – und die mühevollen Gesetzesänderungen, die die neue Infrastruktur erst möglich machten. Ein weiteres Vergabeverfahren für Endgeräte läuft. Der Migrationsprozess auf die neue Infrastruktur soll 2022 starten. Die TETRA-Sprachdienste laufen vorerst weiter.
Internationaler Austausch
Deutschland wurde unteren durch Thomas Scholle, Abteilungsleiter Strategie in der BDBOS (Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben) vertreten, der den Vier-Phasenplan für BOS-Broadband erläuterte, der derzeit mit Bund und Ländern abgestimmt wird. Online zugeschaltet referierte CEO Ed Parkinson zur Erfolgsgeschichte des amerikanischen FirstNet und in London geriet Simon Parr, neuer ESMC-Projektleiter im Homeoffice, über die Fortschritte beim Breitband-Rollout ins Schwärmen. Auch aus Australien und SüdKorea kamen Beiträge. Hellwig: Aus unserem Fachbereich haben wir die gesamten Schüler/-innenzahlen und Prognosedaten dazu eingespielt. Im BI-Tool lässt sich zum Beispiel anzeigen, wie viele Schüler/-innen an welche Schule oder in welchem Stadtteil zur Schule gehen. Oder auch, wie viele Deutsch als Zweitsprache haben. Auch wiederkehrende Umfragen sind ein mögliches Thema für das BI-Tool. Vorstellbar ist beispielsweise, jährlich abzufragen, wie das pädagogische Angebot im offenen Ganztag bewertet wird oder auch wie das Mittagessen im offenen Ganztag schmeckt. Die Ergebnisse werden automatisiert mit dem BI synchronisiert und anschließend über einen längeren Zeitraum ausgewertet. So können diese Verwaltungsthemen viel näher an die Interessen der Bürger/innen herangerückt werden.
Behörden Spiegel: Welche Hürden oder Ängste gegenüber dem BI-Projekt haben Sie erlebt?
Carstensen: Die Kolleg(inn)en stehen dem Tool zunächst positiv gegenüber. Denn die Idee eines zentralen Datenpools ist ja sehr einleuchtend. Eine Hürde entsteht eher beim Gedanken daran, dass die Fachbereiche auf Dauer ihre Daten selbst in das System eingeben und sie dazu vorher prüfen müssen. Hier trauen sich manche nicht zu, dass sie in der Lage sind, zu entscheiden: Gehören diese Daten in das BI-Tool? Ist das datenschutzrechtlich OK, wenn ich sie dort eingebe? Wir versuchen als BI-Team und in Kooperation mit weiteren Expert(inn)en, diese Fragen zu klären, sodass diese Zweifel nach und nach verschwinden. Inzwischen kommen viele Kolleg(inn)en selbst mit Ideen, welche Daten wir noch einpflegen könnten.
Hellwig: Natürlich gab es auch einige Kolleg(inn)en, die dem Projekt eher verhalten gegenüberstanden, aber inzwischen haben wir viel Vertrauen für das BI-Projekt aufgebaut. Die Einführung des BI-Tools ist ja eigentlich ein Kulturthema. Es verändert unsere Arbeits- und Zusammenarbeitskultur grundlegend und hilft uns dabei, Silos aufzubrechen und Wissen besser zu teilen.
Behörden Spiegel: Wie erreichen Sie eine möglichst hohe Usability des Dashboards?
Hellwig: Gemeinsam mit der Hochschule Flensburg erhöhen wir mithilfe von agilen Methoden die Usability beziehungsweise Benutzerfreundlichkeit. Im ersten Schritt haben wir die Daten unserer Fachbereiche gesammelt und daraus erste Dashboards entwickelt. In weiteren Schritten haben wir iterativ das Dashboard an die Vorstellungen der Nutzer/-innen angepasst. Hierfür verändern wir auch Details der Dashboards wie Schriftgrößen oder Buttonfarben. So konnten wir die Usability Schritt für Schritt verbessern. Ein netter Nebeneffekt der Dashboards ist zudem, dass Daten nicht mehr versehentlich verändert werden können. In Tabellenkalkulationsprogrammen kann ein falscher Klick das Layout einer Tabelle ruinieren. Mit dem neuen Dashboard ist dies nicht mehr möglich, da sich das Layout der Tabelle automatisch an die Daten anpasst. Das erleben viele als echten und großen Vorteil.
Carstensen: Wir stellen fest, dass die Geo-Referenzierung als wichtiger Pluspunkt gesehen wird, der die Usability erhöht. Wenn man eine Straße nicht nur über den Namen in einer Liste, sondern einfach auf der Karte suchen kann und sich beispielsweise zusätzlich anzeigen lassen kann, welche weiteren Verkehrsmessungspunkte in der Nähe sind, ist das viel übersichtlicher. Diese Verknüpfung zwischen Karte und Daten schafft ganz neue Denkmöglichkeiten. Das gilt nicht nur für den Verkehr, sondern auch für den Bildungsbereich mit den Schul- oder KitaStandorten und für viele weitere Fachbereiche.
Behörden Spiegel: Werden Ihre Stellen als BI-Multiplikator(inn)en nach Projektabschluss überflüssig?
Hellwig: Wenn wir unsere Arbeit richtig gut gemacht haben, wird sich der Arbeitsaufwand der Multiplikator(inn)en bestimmt noch verringern. Dann hat das Team verinnerlicht, wie das Tool funktioniert und welcher Nutzen entsteht. Die Kolleg(inn)en schlagen dann selbst vor, welche neuen Daten eingespielt werden sollen. Teilweise passiert das ja auch schon jetzt. Die Beratung durch die Multiplikator(inn)en zu Möglichkeiten des BI und der “Brückenfunktion” wird sicher auch zukünftig eine Rolle spielen. Weiterhin notwendig ist aber definitiv das technische BI-Team, unser “Maschinenraum”, um beispielsweise Wartungen und Updates der Software durchzuführen.
Carstensen: Wir werden mit Projektabschluss allerdings nicht alle Abteilungen eingebunden haben. Bisher sind es nur einige ausgewählte unserer insgesamt über 40 Abteilungen. Daher ist es sicher sinnvoll, dass dort weiter BI-Multiplikator(inn)en aktiv sind, um zu beraten und den Start zu begleiten. Ich glaube, es braucht auch weitere Personen, die neue Ideen mit dem BI-Tool entwickeln.
Smart Mapping
(BS/Tobias Kunst*) Mit dem Begriff “Karte der Zukunft” initiierte die Arbeitsgemeinschaft der Vermessungsverwaltungen der Länder der Bundesrepublik Deutschland (AdV) vor ein paar Jahren Überlegungen zu Verfahren und Ausprägung künftiger Visualisierungsformen der amtlichen Geobasisdaten, zu denen u. a. topografische Karten, Geländemodelle und Luftbilder zählen. Ausgangspunkt war die Herausforderung, dass die Zukunft der Kartografie in der mobilen Webpräsentation von Geodaten und weniger in einer vollautomatischen Produktion von Papierkarten liegt. Das sich daraus entwickelte Projekt trägt die Bezeichnung “Smart Mapping”.
Ziel des Projekts war es, moderne Instrumente der Webkartografie in die Anwendung zu bringen und aus einem Baukasten aus Daten, Methoden und Werkzeugen ein Verfahren zu entwickeln, das hochaktuelle kartografische Produkte erzeugt. Dabei werden Veränderungen in den Ausgangsdatensätzen durch hoch performante Erzeugung jeweils in Echtzeit in die kartografischen Produkte übertragen (Echtzeit-Kartografie). Der Schwerpunkt lag zunächst auf der Entwicklung und Bereitstellung hochaktueller Web-Karten im Vektorformat über moderne Schnittstellen und neue Technologien. Im Rahmen eines agilen Entwicklungsansatzes hatte die AdV bald eine Beta-Version einer neuen Webkarte (basemap.de) veröffentlicht, die unter www.adv-smart.de getestet werden kann und ständig weiterentwickelt wird, z. B. um die Integration von dreidimensionalen Gebäudemodellen. Das Verfahren ermöglicht dank eines Map-Editors eine individuelle Gestaltung kartografischer Produkte. Damit ist möglich, individuelle kartografische Produkte zu erzeugen und nutzerorientiert vorkonfektionierte oder speziell gestaltete kartografische Produk-
Visualisierungsbeispiel Frankfurt/Main aus dem Projekt Smart Mapping Grafik: BS/AdV
te einheitlich bereitzustellen. Die AdV beabsichtigt, den operativen Betrieb für die ersten Produkte aus Smart Mapping im Sommer 2022 einzuführen, nämlich die Webkarte im modernen Vektorformat, Rasterkartendienste, Schummerungsdienst und eine Präsentationsausgabe im Maßstab 1:10.000. Hierfür werden derzeit noch die Produkt- und Qualitätsstandards aufgestellt. Die beabsichtigten Lizenzen für die Bereitstellung werden stark flankiert werden von den noch offenen Entscheidungen der Europäischen Kommission zu den hochwertigen Datensätzen im Rahmen der EU-Richtlinie 2019/1024 vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open-Data- und PSI-Richtlinie). Mit dieser OpenSource-Lösung und den offenen Schnittstellen für alle gängigen GIS-Werkzeuge und Portale sowie der Unterstützung von mobilen Anwendungen setzt die AdV auf noch mehr Nutzerorientierung und größere Flexibilität bei der Anwendung ihrer Geobasisdaten.
*Tobias Kunst ist Vorsitzender der Arbeitsgemeinschaft der Vermessungsverwaltungen der Länder der Bundesrepublik Deutschland (AdV).
KOMPETENZZENTRUM ÖFFENTLICHE IT (ÖFIT)
Dezember 2021
Kompetenzzentrum Öffentliche IT
Fehlendes Wissen, niedrige Priorisierung, unklare und selten durchgesetzte Regeln – daran scheitert die Barrierefreiheit digitaler Angebote der öffentlichen Verwaltung bisher.
Warum sind Verwaltungswebseiten noch zu selten barrierefrei und was können wir tun, um das zu verbessern? Seit mehr als 20 Jahren ist in Deutschland vorgeschrieben, dass Webseiten und Apps der Verwaltung für Menschen mit dauerhaften oder situationsbedingten Behinderungen zugänglich und nutzbar sein müssen. Das können etwa Schriftgrößen und Kontraste für Menschen mit Sehbehinderungen, die Möglichkeit reiner Tastatursteuerung bei motorischen Einschränkungen oder verständliche Sprache für NichtMuttersprachler7-innen sein.
ÖFIT-Wissenschaftler Basanta Thapa hat bestehende Studien ausgewertet und mit knapp zwanzig Expert(inn)en aus Verwaltung und Wirtschaft zum aktuellen Stand der digitalen Barrierefreiheit in der Verwaltung gesprochen. Darunter waren Mitarbeitende aus Fachstellen für Barrierefreiheit, von IT-Dienstleistern und von spezialisierten Beratungsunternehmen. Fehlendes Wissen und unklare Regeln als Hürden
Zu den Hürden herrscht bei den Befragten Einigkeit: In Behörden wie in Unternehmen fehlen Wissen und Erfahrung, um Barrierefreiheit umzusetzen. Folglich können Dienstleister der Verwaltung häufig unvollständig barrierefreie Produkte verkaufen, bei denen sich etwa die Schriftgröße doch nicht anpassen lässt. Unübersichtliche und uneinheitliche Regelwerke erschweren für Verwaltung wie Unternehmen den Kompetenzaufbau. Mangels nutzerfreundlicher Orientierung fühlen sich Neueinsteiger/-innen in das Thema schnell überfordert. Barrierefreiheit landet zudem oft weit unten auf der Prioritätenliste, weil Verwaltungsmitarbeitenden der persönliche Bezug fehlt. Entsprechend zieht Barrierefreiheit im Ringen um knappe Budgets oft den Kürzeren. “Barrierefreiheit ist wie Datenschutz – es nervt”, fasst eine Expertin die Haltung zusammen. Negative Folgen haben die Verantwortlichen selten zu befürchten, denn die Vorschriften werden kaum überprüft und es drohen eher vermittelnde Gespräche als spürbare Sanktionen.
Maßnahmen, die Barrierefreiheit stärken
Das Impulspapier sammelt zudem Ideen, um die Umsetzung von Barrierefreiheit zu verbessern. Im Unterschied zu vielen früheren Studien liegt das Augenmerk auf organisatorischen und politischen Maßnahmen statt auf technischen Lösungen. Die Vorschläge teilen sich in vier Gruppen: Kompetenzen aufbauen, Bewusstsein schaffen, Regeln durchsetzen und Ressourcen bereitstellen.
Für mehr Kompetenzen sollte Barrierefreiheit beispielsweise verpflichtender Ausbildungsinhalt für Verwaltungsfachleute sowie Web- und Softwareentwickler/-innen werden. Ein Botschafter/-innen-Netzwerk könnte jene Mitarbeitende bestärken und befähigen, die in den Organisationen bereits heute für das Thema kämpfen. Persönlich mitzuerleben, wie Menschen mit digitalen Barrieren umgehen, schafft ein bleibendes Bewusstsein. Dazu tragen Diversität in der Verwaltung, aber auch spezielle Begegnungs- und Erlebnistage bei. Um die beste-
In der öffentlichen Verwaltung fehlen Wissen und Erfahrung, um Barrierefreiheit umzusetzen.
Grafik: BS/ÖFIT, Martha Friedrich
henden Regeln zur Barrierefreiheit entschiedener umzusetzen, braucht es ein engmaschiges Monitoring über Stichproben hinaus. Automatisierte Prüfungen können hier einen Beitrag leisten. Mithilfe einer zentralen Barrieren-Meldestelle kann auch Crowdsourcing Wirkung entfalten. Zusätzlich können mehr Klagerechte und empfindlichere Strafen den Umsetzungsdruck erhöhen.
Zudem braucht es mehr Ressourcen für Barrierefreiheit in der digitalen Verwaltung: Etwa übersichtlichere Regelwerke und Orientierungsmaterialien, die auf Zielgruppen und spezielle Aufgaben zugeschnitten sind. Ein allgemein anerkanntes Barrierefreiheits-Zertifikat für Benutzeroberflächen gäbe den IT-Dienstleistern mehr Sicherheit und könnte Engpässe bei den Barrierefreiheits-Gutachter(inne)n verhindern. Barrierefreie Design-Systeme, die Gestaltungsfragen zentral vorgeben, senken den Umsetzungsaufwand und die Anforderungen an individuelle Kompetenzen.
Einen ersten stichprobenartigen Überblick zur Barrierefreiheit digitaler Verwaltungsangebote in Deutschland liefert die neue EUÜberwachungsmethodik Anfang 2022. Die Kurzstudie liefert bereits jetzt Anregungen, wie die Verwaltung zum Vorreiter in Sachen digitaler Barrierefreiheit werden kann.
Alle Hürden und Handlungsmöglichkeiten können Sie in der ÖFITKurzstudie nachlesen: https://www. oeffentliche-it.de/publikationen.
Nachdem der Kongress im vergangenen Jahr zu großen Teilen virtuell stattfand, war nun –u unter Übererfüllung der gesetzlichen Infektionsschutzmaßnahmen – für rund 100 Teilnehmer aus Verwaltung, Wissenschaft und Wirtschaft wieder ein persönliches Treffen möglich. Weitere 200 Interessierte verfolgten die Veranstaltung im Livestream. Stefan Mensching, Vorstand der MACH AG, hob in seiner Begrüßung die Chancen hervor, die die Corona-bedingten Veränderungen gebracht haben. “Wer hätte vor zwei Jahren gedacht, dass die öffentliche Verwaltung sich so schnell und in dem Umfang im Homeoffice organisieren würde.” Er mahnte aber auch, das in der Pandemie Gelernte nicht zu vergessen und auszubauen.
Schleswig-Holsteins Ministerpräsident Daniel Günther unterstrich in seinem Grußwort die während der Corona-Krise gesammelten Erfahrungen: “Wir alle haben in der Pandemie erfahren, was Digitalisierung bedeuten kann.” Einschränkend fügte er hinzu: “Ausschließlich auf Video zu setzen, führt dazu, dass vieles zurückbleibt.” Seine Erkenntnis: “Digital ist am Ende auch nicht alles.”
Licht und Schatten
Pia Karger, Leiterin der Abteilung DG (Digitale Gesellschaft; Informationstechnik) und ITBeauftragte des Bundesministeriums des Innern, für Bau und Heimat, gab in ihrem ImpulsVortrag einen Einblick, wie die Verwaltung bei der Digitalisierung voranschreitet. So habe die öffentliche Hand gezeigt, dass sie in Ausnahmesituationen schnell
Der Post-Corona-Spagat
Innovatives Management diskutiert Erfahrungen und Lehren aus der Pandemie
(BS/Guido Gehrt) Der diesjährige Kongress “Innovatives Management”, den die MACH AG auch dieses Mal in den Lübecker Media Docks veranstaltete, stand naturgemäß stark unter dem Eindruck der Pandemie. Quintessenz des Tages: Corona hat zahlreiche Schwachstellen der Digitalisierung aufgedeckt, teilweise mutige Veränderungen bewirkt und moderne Formen des Arbeitens vorangetrieben. Dies sind wichtige Schritte für die Zukunftsfähigkeit des Landes – insbesondere der öffentlichen Verwaltung.
und flexibel agieren könne. Karger betonte: “Wir bewegen uns mit deutlichen Schritten in die richtige Richtung. Wir können und müssen aber auch noch viel lernen.” Führungskräfte müssten eigene Handlungsmuster reflektieren und verändern. “Nur so können wir eine handlungsfähige Verwaltung schaffen”, sagte die IT-Beauftragte. Eine Art “Corona-Bilanz” zog auch eine Diskussionsrunde mit Dr. Sven Egyedy, Leiter Auslands-IT und CIO Auswärtiges Amt; Sachsens CIO Thomas Popp, Staatssekretär für Digitale Verwaltung und Verwaltungsmodernisierung; Christian Pfromm, Chief Digital Officer der Freien und Hansestadt Hamburg; Jan-Hendrik Klamt, Referatsleiter des Zentralen Organisationsmanagements bei der Stadt Wolfsburg; und Sandra Magens, Kanzlerin der Universität zu Lübeck. Die Verwaltung habe auch in der Pandemie weiter funktioniert. Gleichzeitig seien Defizite durch fehlende Digitalisierung offengelegt worden. In einigen Köpfen habe es förmlich “Klick” gemacht, berichtete Jan-Hendrik Klamt, bis hin zu der Erkenntnis, dass die Digitalisierung von wesentlichen Prozessen an einigen Stellen eher notwendig gewesen wäre. Themen wie die E-Akte erhielten daher laut Klamt nun eine ganz neue Bedeutung. San-
Schleswig-Holsteins CIO Sven Thomsen sprach über seine Erfahrungen mit dem “asynchronen Arbeiten”.
Fotos: BS/MACH
dra Magens hob hervor, dass während der Pandemie plötzlich Bereiche wie Personal oder Finanzen in den Fokus rückten. Deren Digitalisierung sei bisher nicht ausreichend priorisiert gewesen und der Bedarf in der Pandemie plötzlich größer als erwartet.
Den Schwung mitnehmen
Christian Pfromm vertrat die These: “In den vergangenen 1,5 Jahren wurden durch die Digitalisierung viele Prozesse beschleunigt – diesen Schwung sollten wir mitnehmen!” Dem schloss sich Thomas Popp an und betonte: “An der Digitalisierung führt kein Weg mehr vorbei. Wir müssen diesen Schwung jetzt nutzen!” Auch Dr. Sven Egyedy warb dafür, mutig zu bleiben und die Digitalisierung weiter voranzutreiben. Mit Blick in die Zukunft sagte Jan-Hendrik Klamt: “Wir sind einfach ins Machen gekommen. Jetzt müssen wir das in Regeln gießen.” Ähnlich argumentierte Sandra Magens und mahnte, das positive Momentum der Veränderung nicht zu vernachlässigen, indem das Alte zu schnell wieder normal werde. Einigkeit herrschte bei den Diskutant(inn)en auch über die Bedeutung von Mitarbeiter(inn) en und Führungskräften für die Digitalisierung. Sie hätten agil zusammengearbeitet, sich auf pragmatische Lösungen eingelassen und so viele Fragen in der Pandemie gelöst – für Christian Pfromm neben den technologischen Aspekten einer der kritischen Erfolgsfaktoren in der Pandemie.
Der CIO der sächsischen Landesregierung, Thomas Popp, wurde remote aus seinem Amtszimmer in der Dresdner Staatskanzlei in die Diskussion zugeschaltet. Veränderte Zusammenarbeit
Wie groß die Corona-bedingten Veränderungen in der öffentlichen Verwaltung sind, verdeutlichte Sven Thomsen, CIO und Leiter der Abteilung Digitalisierung und Zentrales IT-Management im Digitalisierungsministerium des Landes Schleswig-Holstein. Mit einem einfachen Schaubild zeigte er die Menge der Einwahlen per VPN in die IT des Landes – vor und während der unterschiedlichen Wellen der Pandemie. Selbst in relativ entspannten CoronaPhasen habe die Zahl der remote Arbeitenden deutlich über dem Vorkrisenniveau gelegen. Auch die Art der Zusammenarbeit habe sich gravierend verändert. Sven Thomsen berichtete: “Früher habe ich meine Mitarbeiter über ein Treffen kurz in einem Gespräch informiert.” Jetzt müsse er die Mitarbeitenden einzeln über digitale Kanäle erreichen. “Dieses asynchrone Arbeiten muss gelernt und geschult werden”, so Thomsen.
Provisorisches und Bewährtes vereinen
Wie man bestmöglich Provisorisches und Bewährtes vereinen könnte, diskutierten Erwin Heinz, Vizepräsident des Bundesverwaltungsamts; Holger Lehmann, Chef des Leitungsstabes im ITZBund; Ilona Benz, Leiterin der Stabsstelle Digitalisierung im Gemeindetag Baden-Württemberg; sowie Thorsten Rocksien, Projektleiter und Referent bei der Freien und Hansestadt Hamburg. Erwin Heinz sieht in der digitalen Transformation große Vorteile. Er betonte, Digitalisierung müsse viel weiter als bisher gedacht werden. “Selbst wenn der Eingangskanal mittlerweile über elektronische Wege läuft, ist der Prozess dahinter noch längst nicht digitalisiert – das muss aber unser Ziel sein”, so Heinz. Holger Lehmann bestätigte: “Ein Notebook ist für sich eine schöne Sache, funktioniert in der Verwaltung aber erst, wenn es auf digitale Fachverfahren zugreifen kann und mobile Einwahlplattformen laufen.” Ilona Benz wies darauf hin: “Es reicht nicht, den Mitarbeiter(inne)n einen Laptop und ein Smartphone in die Hand zu drücken. Wir müssen unsere Arbeitsprozesse insgesamt neu organisieren.” Dies funktioniere gut, wenn bestehende Prozesse hinterfragt, schrittweise angepasst und die Veränderungen planvoll begleitet würden. Als Zielbild beschrieb BVA-Vizepräsident Heinz: “Unsere Vision ist es, für alle Verfahren eine komplett digitalisierte Bearbeitung zu erreichen: elektronischer Eingang, elektronische Bearbeitung bis hin zum elektronischen Ausgang.” Diese Form der Digitalisierung führe dann auch zu Krisenfestigkeit, so Heinz weiter. Für Holger Lehmann bedeutet das aber auch, gefestigte Strukturen zu schaffen. “Um in Krisen zu bestehen, sind Routinen wichtig”, so der BVA-Vize.
Gelegentlich klang das Ganze ein bisschen wie das Pfeifen im Walde, aber meistens erinnerte die optimistische Stimmung der rund 50 anwesenden GaiaX-Summit-Teilnehmerinnen und Teilnehmer an jenes berühmte gallische Dorf, das den Römern erfolgreich die Stirn bietet. Der Erfolg von Gaia-X sei entscheidend für die künftige internationale Wettbewerbsfähigkeit Europas. Nicht nur der europäische IT-Sektor profitiere von der Etablierung einer transparenten, vertrauenswürdigen und sicheren Infrastruktur für Datenräume, sondern auch Unternehmen vieler Wirtschaftssektoren sowie auch die öffentliche Hand und nicht zuletzt der Bildungssektor. Transparenz sei entscheidend, aber auch das Durchhaltevermögen der vielen Partner angesichts eines ebenso innovativen wie auch komplexen Vorhabens. “Ohne Imagination gibt es weder Innovation noch Transformation”, wiederholte Gaia-X-CEO Francesco Bonfiglio mehrfach und: “Wir werden liefern!”
Fortschritte beim Aufbau
Ansonsten wiesen Bonfiglio und Kolleginnen wie Kollegen auf das Erreichte hin: Mit der belgischen Non-Profit-Gesellschaft Gaia-X AISBL hat sich die Gaia-X-Community eine solide operative Basis geschaffen. Die Mitgliedschaft ist von 22 deutschfranzösischen Gründern auf 318 Mitglieder angewachsen, darunter internationale Hyperscaler wie Amazon, Microsoft und Huawei. Insgesamt 15 nationale Hubs organisieren die Umsetzung in 14 europäischen Staaten und neuerdings auch in Süd-Korea. Die Abstimmung und Veröffentli-
Zweiter Gaia-X Summit
Europa auf dem Weg zur Cloud-Technologie der nächsten Generation
(BS/Dr. Barbara Held/Mailand) Zum zweiten “Gaia-X Summit” hatte das Gaia-X-Management Mitte November nach Mailand eingeladen. Auf dem Programm standen viele Informationen zum Stand der Dinge und etliche Mutmacher.
chung von Grundsatz-Dokumenten und technischen Spezifikationen befinde sich im Zeitplan, so Bonfiglio. Nach der Spezifikationsphase im Jahr 2021 werde 2022 das Jahr der praktischen Umsetzung. Ab 2023 sei Gaia-X im Wirkbetrieb und werde innovative Cloud-Projekte aus Europa und der ganzen Welt anziehen. Der aktuelle Austritt des französischen Gaia-X-Gründungsmitglieds Scaleway wurde auf dem Summit daher mit relativer Gelassenheit aufgenommen. Die Telekom
Die von Medienvertretern geäußerte Vermutung, T-Systems befinde sich nach der kürzlichen Entscheidung für ein gemeinsames Cloud-Projekt mit Google ebenfalls auf dem Rückzug aus der Gaia-X-Gemeinde, wies der Vorsitzende des Gaia-X-Vorstands und T-Systems-Vertreter Dr. Maximilian Ahrens entschieden zurück. Man müsse das eine nicht lassen, weil man etwas anderes beginne. Gaia-X schaffe die Rahmenbedingungen für eine Vielzahl von Projekten, auch für die künftige Telekom-Cloud. Kurzfristig brauche Gaia-X aber dringend mehr greifbare Erfolge in Form von “Leuchtturm-Projekten” wie dem Catena-X-Projekt der Autoindustrie. Catena-X-CEO Oliver Ganser (BMW) betonte seinerseits die Bedeutung von Gaia-X für seine Cloud-Community: “Wir produzieren Code, keine Standards”. Gaia-X liefere den erforderlichen standardisierten Rahmen zur Gewährleistung von Souveränität, Interoperabilität und Sicherheit. Ziel von Catena-X sei unter anderem die Schaffung eines Datenraums für ein zirkuläres Wirtschaftsmodell, das von der Beschaffung von Rohmaterialien über die Autohersteller und schließlich die Schrottverwertung einen nachhaltigen Lifecycle abbilde. In Deutschland gegründet, internationalisiere sich die Catena-X-Assoziation immer mehr und zähle bereits 62 Mitglieder, berichtete Ganser.
Gaia-X bleibt “europäischen Werten” verpflichtet
Skeptische Fragen nach einem möglicherweise nicht zu beherrschenden Einfluss der außereuropäischen Hyperscaler beantworten Bonfiglio und Ahrens abwehrend. Die Gaia-X-Satzung lasse im entscheidenden Direktoren-Gremium nur europäische Firmen zu und verpflichte darüber hinaus alle Mitglieder auf die Rahmenbedingungen europäischen Datenschutzes. Zudem stünde jedem Mitglied in den Arbeitsgruppen nur eine Stimme zur Verfügung. Umgekehrt werde ein Schuh daraus, erklärte Bonfiglio: Die Hyperscaler seien derzeit aktiv dabei, ihre Angebote den Gaia-X-Spezifikationen
BSI als Vorbildfunktion
Mehr Digitalisierung heißt auch mehr Gefahr
Francesco Bonfiglio, Chief Executive Officer von Gaia-X AISBL, auf dem zweiten Gaia-X Summit in Mailand Foto: BS/Gaia-X AISBL
anzupassen. Gleichzeitig profitiere die Gaia-X-Community von ihrem technischen Know-how. Dabei werde künftig der innovative Ansatz einer “certification by automation” für die transparente Einstufung aller Akteure sorgen. Gaia-X-Label klassifizieren die künftigen Dienste
Grundlegend hierfür ist die Kennzeichnung aller Gaia-X-Angebote mit sogenannten Labeln, die jeweils einen bestimmten Grad technischer und organisatorischer Souveränität garantieren: Label 1 entspricht dabei dem ENISA-Niveau für Mindestsicherheitsmaßnahmen für Betreiber von kritischen Diensten. Label 2 fügt unter anderem die
(BS/Paul Schubert) Deutschland stehe nicht am Ende der Digitalisierung, sondern am Anfang, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf dem CyberSicherheitsTag Niedersachsen in Hannover. Das BSI sei auf diesen Wandel vorbereitet, erklärte der Sicherheitsexperte.
“Insgesamt gibt es mehr digitale Möglichkeiten, auf die Deutschland nicht mehr verzichten kann. Allerdings ergeben sich daraus auch Gefahren, auf die Deutschland vorbereitet sein muss”, erklärte Schönbohm. Er verwies in diesem Sinne auch auf die hohe Alarmstufe, welche das BSI seit einiger Zeit ausgerufen habe, und konstatierte die hohe Zahl von betroffenen Servern beim Cyber-Angriff auf Microsoft Exchange. Das BSI sei jedoch besser als andere Behörden auf die aktuellen Gefahren vorbereitet: “Insgesamt arbeiten etwa 80 Prozent der Mitarbeitenden unseres Bundesamtes von zu Hause. Das ist nur möglich, weil die Angestellten mit spezieller Sicherheitssoftware ausgestattet sind”, erklärte der BSI-Präsident. Weiter erklärte Schönbohm, dass das Thema des digitalen Verbraucherschutzes vom Bundesamt nun stärker in den Blick genommen werde: “Das befindet sich jetzt im Profil des BSI und wird kontinuierlich weiterentwickelt, um die Resilienz für Bund und Länder weiter zu stärken.” Lob gab es dabei für das Land Niedersachsen: “Niedersachsen ist das erste Land, welches aktiv Hilfe vom BSI anfordert. Hier können wir uns gegenseitig helfen”, so der BSI-Präsident.
Kooperationsvereinbarung zur Cyber-Sicherheit
Tatsächlich kam dieses Lob vom BSI-Präsidenten nicht von ungefähr: Auf dem CyberSicherheitsTag Niedersachsen fand auch die Unterzeichnung eines Kooperationsvertrags gegen Cyber-Angriffe zwischen dem BSI und dem Land Niedersachsen statt. Bereits jetzt würden
Der niedersächsische Innenminister Boris Pistorius (SPD) zusammen mit Moderator Guido Gehrt (Behörden Spiegel, re.) auf dem CyberSicherheitsTag Niedersachsen in Hannover. Pistorius plädierte dafür, die langfristige Finanzierung von CyberSicherheit in Land und Kommunen sicherzustellen. Foto: BS/Paul Schubert
beide Seiten durch den Austausch technischer Expertise und kurzen Abstimmungswegen profitieren, sagte Schönbohm. Zukünftig solle vor allem durch gegenseitige Hospitationen und feste Austauschformate die Zusammenarbeit intensiviert werden, sagte der BSI-Präsident. Insgesamt sind siebzehn Kooperationsfelder für eine vertiefte Zusammenarbeit in der Vereinbarung herausgestellt worden. Cyber-Sicherheit ist wie Facility Management
Der niedersächsische Innenminister Boris Pistorius (SPD) bezeichnete die Vereinbarung als “einen Meilenstein für die künftige Cyber-Kooperation”. Des Weiteren betonte er die Notwendigkeit, Cyber-Sicherheit mit wirksamem Datenschutz zu kombinieren: “Datensouveränität und Cyber-Sicherheit müssen zusammen gedacht werden.” Vor allem private IT-Geräte und unzureichende IT-Lösungen würden es Straftätern einfach machen, an Daten zu kommen, erklärte Pistorius. Der SPD-Politiker warnte vor allem vor den Gefahren der fehlenden Sichtbarkeit von Cyber-Sicherheit: “In der Wahrnehmung kann man die IT-Sicherheit mit Facility Management vergleichen. Man redet nicht gern darüber und man investiert wenig darin.” So müssten Verantwortliche erst erklären, weshalb gewisse Beträge in die Cyber-Sicherheit investiert werden sollten, wenn doch bisher alles gut gegangen sei, erklärte der niedersächsische Innenminister: “Dass CyberSicherheit die Grundlage für moderne und zukunftsorientierte Gefahrenabwehr ist, scheint noch nicht in den Köpfen einiger Entscheidungsträger angekommen zu sein.”
Verantwortung kann nicht angeordnet werden
Das Problem stellt auch Jörg Peine-Paulsen, Fachbereich Wirtschaftsschutz im Niedersächsischen Innenministerium, in seiner täglichen Arbeit fest: “Die meisten Entscheidungsträger bei uns verstehen die Problematik, aber die Mitarbeitenden sehen die Verantwortung für Informationssicherheit oft als herausfordernde Verpflichtung. Sicherheit ist ein Gefühl und kann nicht durch Anordnung verändert werden”, erklärte Paulsen. Der Verwaltungsmitarbeiter forderte daher auch dazu auf, die Lasten der Verantwortung zu teilen, weil es sich dabei um eine sehr herausfordernde Verpflichtung handele: “Wir müssen anfangen, in einem Information- SecurityManagement-System(ISMS)Zeitalter zu leben. Die Implementierung dieses Systems in jeder Abteilung und auch die Awareness dafür können helfen, den Mitarbeitenden viel von der Arbeit abzunehmen.” Bei ISMS sollte darauf geachtet werden, sie plattformgerecht zu verteilen: “Der BSI-Grundschutz ist riesengroß und adressiert wenig die Kommunen, hier kann vor allem auf ISIS12 gesetzt werden”, erklärte Thomas Rehbohm, CISO der Freien Hansestadt Bremen. Die Länder sollten ihre eigenen IT-Sicherheits-Strategien verfolgen, um situationsbedingt eingreifen zu können, so Rehbohm. Die Landesverwaltung in Niedersachsen hingegen nutzt bisher das ISO/ IEC 27001-Zertifikat auf Basis von IT-Grundschutz. Verpflichtung hinzu, die Daten allein in Europa zu verarbeiten und zu speichern. Level 3 garantiert darüber hinaus, dass die Systeme ausschließlich von europäischen Staatsbürgern betrieben werden und entspricht damit dem höchsten von ENISA definierten Sicherheitsniveau. Ihrem entsprechend können die nationalen Hubs die Label noch durch landesspezifische Kriterien erweitern. Das entsprechende Gaia-X-Grundsatzdokument wurde inzwischen auf der GaiaX-Webseite (https://gaia-x.eu) veröffentlicht.
In aufgezeichneten Videobotschaften drückten die beiden Gaia-X-“Gründungsväter”, der Bundesminister für Wirtschaft und Energie (BMWi) Peter Altmaier und sein französischer Amtskollege Bruno Le Maire, ihre fortdauernde Unterstützung aus. Er sei “glücklich und stolz” auf das von Gaia-X Erreichte, sagte Altmeier. Die deutsche Regierung habe bereits 500 Mio. Euro GaiaX-Fördermittel investiert; weitere 750 Mio. Euro plane das BMWI, im Rahmen eines europäischen “Important Project of Common European Interest (IPCEI)” für Gaia-X-basierte innovative CloudProjekte auszugeben. Le Maire wies darauf hin, dass es ohne digitale Souveränität keine nationale Souveränität geben könne. Frankreich habe bisher rund 240 Mio. Euro Förderung von CloudTechnologien und weitere 150 Mio. Euro für spezielle Datenräume bereitgestellt. Aber Le Maire relativiert auch: Google wolle in den nächsten Jahren zehn Milliarden Dollar in Cloud-Technologien investieren, Microsoft rund 20 Milliarden Dollar. Das könne keine Verwaltung leisten. Anerkennung von der Europäischen Kommission
Deutlicher Zuspruch kam auch von der europäischen Kommission. Roberto Viola, der Direktor der Generaldirektion für Kommunikationsnetze, Inhalt und Technologien – ebenfalls online zugeschaltet –, bezeichnete die Gaia-X-Fortschritte als “beeindruckend”. Die Kommission habe hohe Erwartungen an die künftigen Gaia-X-Standards und Infrastrukturen. Der europäische CoronaAufbauplan allein stelle rund 500 Mio. Euro in die jetzt anlaufenden digitalen Kommissionsprogramme ein, so der Generaldirektor. Künstliche Intelligenz, digitaler Zwilling, Super-Computer und Cloud-Technologien stünden im Fokus. Von eher politischer Bedeutung ist die Patronatserklärung (“Letter of Comfort”), die die Generaldirektion Wettbewerb passend zum Summit zustellte. Die Erklärung würdigt die herausragende Rolle von Gaia-X AISBL bei der Verbreitung von Cloud-Technologien und -Diensten zur Stärkung europäischer Wettbewerbsfähigkeit und bescheinigt der Gesellschaft einen entscheidenden Beitrag zur Umsetzung der Kommissionsprogramme zu Datenstrategie, digitaler Strategie, Industriestrategie und dem Corona-Aufbau-Plan. Das ist eine rare Auszeichnung als förderungswürdiges Projekt. Etappenziel De-Facto- Standard
Für CEO Bonfiglio ist der Maßstab für Erfolg, sei, dass es gelingt, Gaia-X innerhalb der nächsten beiden Jahre zum europäischen “De-Facto-Standard für Cloud-Angebote” zu machen. Gleichzeitig laufe schon die Zusammenarbeit mit den offiziellen europäischen Standardisierungsorganisationen CEN und CENELEC, versichert Gaia-XCOO Dr. Dominik Rohrmus. Das Fernziel als öffentlicher Standard stehe am Horizont. Dass die Aufbruchstimmung im Gaia-X-Management nicht unbegründet ist, zeigte sich am Publikumsinteresse: Zu jedem Zeitpunkt des Summits waren über 4.000 – in Spitzenzeiten sogar 5.000 – Teilnehmende dem Event in Mailand online zugeschaltet.
Treffen der “Cyberwomen”
IT-Sicherheitsexpertinnen (nicht) ganz unter sich
(BS/akh) Es gibt sie, die Expertinnen in der IT-Sicherheit – doch der Anteil an Teilnehmerinnen auf IT-Sicherheitsveranstaltungen ist nach wie vor gering, vor allem unter Vortragenden oder in Diskussionsrunden findet man nur wenige Frauen. Nicht so bei der Konferenz “Cyberwomen”.
Das Event wurde 2019 gegründet, um genau dieser Tatsache entgegenzuwirken. Neben fachlichem Austausch gibt es hier Raum zur Vernetzung. Auch der ein oder andere männliche Teilnehmer mischt sich unter die Expertinnen, denn die Veranstaltung ist nicht ausschließlich für Frauen aus der IT-Branche, sie will für alle eine Plattform sein. Neben Profis auf dem Gebiet lauschen auch Studentinnen und andere Interessierte aller Hierarchiestufen aus Unternehmen und Behörden den Vorträgen rund um Themen der IT-Sicherheit und CyberBedrohungen. Die ganze Gesellschaft sei digitalisiert, jeder könne angegriffen werden, das sei nur eine Frage der Zeit, erklärt zum Beispiel Dr. Haya Shulmann, Dept. Head, Fraunhofer Institute for Secure Information Technology, in ihrer Session auf der diesjährigen, erstmalig online stattfindenden “Cyberwomen”. Rückschlüsse darauf, wer der Angreifer in einem konkreten Fall sei, könne man unter anderem aus technischen Gemeinsamkeiten bei Angriffen, aus der Opferauswahl oder auch aus Zugriffszeiten der Angreifer oder deren Zielen ziehen. Dies sei jedoch sehr fehlerhaft. Mit sogenannten Falsche-Flagge-Operationen lenkten Angreifer teilweise gezielt den Verdacht auf andere Gruppen, indem sie deren Infrastruktur hackten, übernehmen und schließlich eigene Malware dort unterbrächten. So etwas passiert laut Shulmann häufig, man könne also nicht sicher sein, wer hinter einem Angriff stecke. Ihr Fazit lautet daher: Um die Cyber-Sicherheit zu verbessern, müsse man Sicherheitslücken vor den Hackern finden.
IT-Security Made in Germany
Sonderteil des Behörden Spiegel, Dezember 2021
Die Komplexität der IT-Systeme- und Infrastrukturen wird immer größer, die Methoden der Angreifer werden ausgefeilter und die Angriffsziele werden mit der fortschreitenden Digitalisierung kontinuierlich lukrativer. Entsprechend steigen die Risiken sehr stark an, was zu hohen Schäden führt. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von mehr als 220 Milliarden Euro. Deutlich wird also: Die aktuelle IT-Sicherheitslage in Deutschland ist ungenügend und keine gute Basis für unsere digitale Zukunft.
Aber auch der Aspekt IT-Sicherheit als Wirtschaftsfaktor spielt eine wichtige Rolle. In verschiedenen Studien wurde evaluiert, dass Unternehmen im Schnitt 0,1 Prozent ihres Gesamtumsatzes in IT-Sicherheitslösungen ohne Dienstleistungen investieren. Bei einem Bruttoinlandsprodukt von 3,3 Billionen Euro sind das 3,3 Milliarden für 2020 allein in Deutschland. Die Anzahl der IT-Sicherheitsexpert(inn)en in DAX-Unternehmen umfasst im Schnitt 131 Mitarbeiter/-innen, das sind ca. 0,1 Prozent der Mitarbeiter(inn)en insgesamt. Das Wachstum im Bereich ITSicherheit wird in verschiedenen Studien mit durchschnittlich zehn Prozent im Jahr prognostiziert. Damit werden die Ausgaben für IT-Sicherheitslösungen schneller wachsen als IT-Gesamtausgaben, was die Bedeutung der IT-Sicherheit noch einmal deutlich herausstellt.
IT-Sicherheitsexperten in Deutschland
Bedarf wird immer größer
(BS/Prof. Dr. Norbert Pohlmann) Cyber-Sicherheit spielt für unsere digitale Zukunft, sowohl im Alltag als auch im Berufsleben, eine zentrale Rolle. Wir stellen aber fest, dass - seit Beginn der IT - auch mit der Digitalisierung die IT-Sicherheitsprobleme jedes Jahr größer werden und keineswegs abnehmen. Das bedeutet auch, dass unsere heutige IT nicht sicher genug konzipiert und aufgebaut ist, um den Angriffen intelligenter Hacker erfolgreich entgegenzuwirken.
Der Bedarf
Um den immer größer werdenden IT-Sicherheitsherausforderung und den damit verbundenen Risiken entgegenzuwirken, brauchen wir aber deutlich mehr IT-Sicherheitsexpert(inn) en: Ethical Hacker, die IT-Sicherheitslücken fi nden, bevor kriminelle Hacker sie für ihre Zwecke ausnutzen können. ITSicherheitsinnovatoren, die ITSicherheitslösungen entwickeln, die gegen zunehmend intelligente Angriffsvektoren wirken und damit das Risiko von Schäden minimieren. Softwareentwickler, die IT-Systeme und IT-Dienste sicher entwickeln können, damit diese weniger Schwachstellen und Angriffsfl ächen aufweisen. IT-Sicherheitsadministratoren, die z. B. Firewall- und VPN-Systeme, Anti-Spam- und Anti-Malwaresysteme sowie Verschlüsselungs- und Back-upSysteme sicher konfi gurieren und verwalten können. Wirtschaftler, die IT-Sicherheit im Sinne von Return on Security Investment (RoSI) rechnen können, damit wir IT-Sicherheitsinvestment für einen angemessenen Schutz unserer Unternehmen tätigen können. Aber auch ITSicherheitsexpert(inn)en aus weiteren Disziplinen wie PR, Sozialwirtschaft, Psychologie, Rechtswesen, Strafverfolgungsbehörden, Bundeswehr und CISOs sind erforderlich, um die fortschreitende Digitalisierung sicher und vertrauenswürdig zu gestalten.
Aus- und Weiterbildungsstand der IT-Sicherheit Im Bereich der akademischen Ausbildung und Weiterbildung auf dem Gebiet IT-Sicherheit hat sich in Deutschland in den letzten Jahren sehr viel getan.
1. Eigenständige IT-Sicherheitsstudiengänge
Es gibt zunehmend Bachelor- und MasterStudiengänge mit Ausrichtung auf IT-Sicherheit. Besondere Orte, an denen sehr viele künftige Expert(inn)en ausgebildet werden und breite ITSicherheitsforschung stattfi ndet, sind: Das Horst-Görtz-Institut der Ruhr-Universität, das Institut für Internet-Sicherheit if(is) der Westfälischen Hochschule, die Technische Universität Darmstadt, die Hochschule Darmstadt, die Universität des Saarlandes, die Universität der Bundeswehr München, dieTU München und das Karlsruher Institut für Technologie (KIT). Siehe auch diese Übersicht über Lehrangebote und Lehreinrichtungen: https://www. teletrust.de/it-sicherheitslehre/.
Professor Dr. Norbert Pohlmann ist Informatikprofes- 2. Integrativer Teil von weisor für Cyber-Sicherheit und teren Studiengängen Leiter des Instituts für Inter- Aber auch Studienrichtungen, net-Sicherheit if(is) an der die nicht den Fokus IT-Sicherheit Westfälischen Hochschule haben, integrieren das Thema in in Gelsenkirchen sowie Vor- den eigenen Schwerpunkten wie standsvorsitzender des Bun- Netzwerke, Internet-Protokolle, desverbandes IT-Sicherheit Verteilte Systeme, Betriebssys– TeleTrusT und im Vorstand teme und Datenbanken. des Internetverbandes – eco. Foto: BS/Hoffotografen 3. Berufsbegleitende IT-Si-
cherheitsstudiengänge
Neben Vollzeitstudiengängen haben sich berufsbegleitende IT-Sicherheitsstudiengänge etabliert, bei denen Mitarbeiter(inn) en in Unternehmen neben ihrer eigentlichen Berufstätigkeit ITSicherheit studieren können, wie zum Beispiel den Master IT-Sicherheit an der RuhrUniversität Bochum oder den Bachelor IT-Sicherheit an der Technischen Hochschule Brandenburg.
4. Weitere Möglichkeiten der Aus- und Weiterbildung
Eine andere Möglichkeit sind die Personenzertifi kate, die in der Regel von den Unternehmen voll- oder teilfi nanziert werden. Beispiele von Personenzertifi katen im Bereich IT-Sicherheit sind: TeleTrusT Information Security Professional vom Bundesverband IT-Sicherheit – TeleTrusT und CISSP – Certifi ed Information Systems Security Professional von (ISC)². T.I.S.P. berücksichtigt besonders die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung. Die IT-Sicherheitsverbände nehmen hier eine wichtige Rolle als Motor in der IT-Security-Fortbildung ein: Die Qualifi kation der Teilnehmenden wird nicht nur gezielt gesteigert, sondern auch anhand der Zertifikate sichtbar. Dadurch wird der Weiterbildungsgrad der zertifizierten Personen für potenzielle Arbeitgeber transparent und vergleichbar. Das schafft wiederum Anreize, dem eigenen Personal mehr Qualifi zierung zu ermöglichen, motiviert die Verbände, weitere Fortbildungsmodelle zu entwickeln und fördert die Eigenmotivation, sich stetig weiterzubilden. In Deutschland wird sehr viel im Bereich IT-Sicherheit ausgebildet und die Forschung ist international besonders aktiv und erfolgreich, dennoch fehlen viele IT-Sicherheitsexpert(inn) en. Daher ist es wichtig, dass wir noch mehr ausbilden und uns in der IT-Sicherheitsforschung noch mehr engagieren, damit wir in Deutschland und über Deutschland hinaus die digitale Zukunft sicher und vertrauenswürdig gestalten.
Die Set-up-Phase (prepare) stellt sicher, dass unsere Kunden auf einen Sicherheitsvorfall richtig vorbereitet sind. Diese Phase umfasst neben der Besprechung des Services vor Ort auch die Defi nition der Kommunikation sowie die Integration in bestehende Incident-ResponseProzesse. Damit werden die Aufgabengebiete und Abläufe klar defi niert. Am Ende des Set-ups steht das fertige und ausgetauschte Betriebshandbuch, das die wesentlichen Informationen für beide Parteien enthält.
Wenn etwas passiert, muss schnell reagiert werden. Jeder Kunde erhält eine personalisierte Nummer zur Notfall-Hotline. Für den Ernstfall steht diese 24 Stunden an sieben Tagen pro Woche bereit. Anders als übliche Hotlines verbindet diese direkt zu einem SEC-DefenceExperten, ganz ohne Callcenter oder Warteschleife. Damit stehen unsere Experten im Ernstfall (Alert) innerhalb kurzer Zeit zur Verfügung und leiten sofortige Maßnahmen ein.
Die Einsatzgruppe, auch RapidResponse Team genannt, führt die Analyse sowie die Maßnahmen zur Reaktion auf Sicherheitsvorfälle durch. Ein kompetentes und eingespieltes Team von Sicherheits-Experten aus den Bereichen Incident Response, Forensik sowie technischer und organisatorischer Informationssicherheit sorgen dabei für einen reibungslosen organisatorischen Ablauf des Einsatzes. Schadensbegrenzung, die schnelle Wiederaufnahme des Normalbetriebs und die Verhinderung eines erneuten Angriffs stehen hierbei im Vordergrund. Idealerweise ist das SECDefence-Team präventiv tätig und analysiert im Rahmen von Workshops und Notfallübungen die aktuelle Sicherheitslage. So können mögliche Schwachstellen frühzeitig identifi ziert werden, um die Wahrscheinlichkeit eines Angriffs und den daraus resultierenden Schaden im Eintrittsfall, zu minimieren. Besonders bei gezielten Angriffen hochprofessioneller Gegner (Advanced Persistent Threat, APT) stellen diese Tätigkeiten spezielle Anforderungen an den jeweiligen Dienstleister. Daher hat das BSI - Bundesamt für Sicherheit in der Informationstechnik eine Liste mit empfohlenen Unternehmen ausgegeben, die auch in diesem Bereich eine nachweisli-
Die Antwort auf Cyber-Kriminalität!
Individuelle Soforthilfe ohne Wartezeit
(BS/Stephan Mikiss*) Soforthilfe im Fall eines Hacker-Angriffs oder Vorbereitung auf den Ernstfall – die Sicherheitsexperten von SEC Consult und Atos Cybersecurity in Deutschland unterstützen im Kampf gegen Cyber-Kriminalität. Behörden, Institutionen sowie Unternehmen sind mit ihren Dienstleistungen in Bezug auf sichere Lösungen heute mehr denn je gefordert. Der massive Anstieg von Attacken zwingt sie zunehmend zur Reaktion, zur Abwehr laufender Angriffe. Das Incident-Response-Know-how von SEC Consult und Atos Cybersecurity steht nicht nur bei der Abwehr und dem Handling von Angriffen zur Verfügung, sondern leistet bereits im Vorfeld sowie in der Nacharbeitung einen wichtigen Beitrag zur Unterstützung bei Cyber-Attacken.
Mit dem SEC Defence-Team von Atos sind Sie individuell auf alle Cyber-Gefahren vorbereitet. Die Sicherheitsexpert(inn)en stehen Ihnen dabei rund um die Uhr zur Verfügung. Foto: BS/SEC Consult – an atos company che Qualifi kation und Eignung vorweisen können. Hierbei verfügen SEC Consult und Atos Cybersecurity in Deutschland über ein – global einzigartiges – Alleinstellungsmerkmal an Zertifi katen und Qualifikationen. Gemeinsam sind beide das einzige Unternehmen, das:
• qualifi zierter APT-Response-
Dienstleister des BSI und • CREST Cyber Security Incident Response zertifi ziert und • BSI-Prüfstelle für Penetrationstest, IS-Revision und IS-
Beratung ist.
Damit stehen wir gemeinsam unseren Kunden nicht nur im Ernstfall als “Feuerwehr” zur Verfügung, sondern auch beratend zu den Themen Informationssicherheitsmanagement und Cyber-Security zur Seite. Eine weitere Bestätigung, dass SEC Consult und Atos Cyber-Security in Deutschland gemeinsam zu den besten Unternehmen im Bereich Cybersecurity zählen. Denn stetig wachsende Herausforderungen im Bereich der Cyber-Security verlangen nach einer ebenfalls stetig wachsenden Expertise und nachweislichem Know-how. Bereiten auch Sie sich vor und wenden Sie sich an einen unserer Experten, um individuelle Fragen rund um Prävention und Incident Response zu klären.
*Stephan Mikkis ist technischer Leiter von SEC Defence, Sicherheitsberater und Incident Responder bei der SEC Consult Group.
Dass all diese Daten für solche legitimen Zugriffszwecke ihrerseits kaum dezentral vorgehalten werden können, liegt auf der Hand. So steht auch außer Frage, dass die Speicherkapazitäten, Sicherungsmechanismen, Services und Funktionen des Cloud Computings für eben solche, auch gemeinwohlorientierten Zwecke nutzbar gemacht werden. Streitig ist lediglich, ob und unter welchen Umständen damit eine Datenübermittlung in – aus Sicht der Datenschutzgrundverordnung (DSGVO) – unsichere Drittstaaten einhergehen darf. Die USA sind ein solcher Drittstaat, bei dem kein dem europäischen Datenschutzrecht vergleichbares Datenschutzniveau herrscht. Weil aber die größten und auch wirtschaftlich bedeutsamen CloudAnbieter ihren Geschäftssitz in den USA haben, entsteht das sog. CloudDilemma: Faktisch kommt man – auf staatlicher, wirtschaftlicher und privater Ebene – an etablierten CloudDiensten USamerikanischer Anbieter nicht vorbei, rechtlich darf man sie nicht in Anspruch nehmen. Dass Letzteres so gesehen werden muss, zeigen eindrucksvoll die Entscheidungen des Europäischen Gerichtshofs, in denen dieser zunächst das SafeHarborAbkommen und dann den EUUSPrivacy Shield für europarechtswidrig und damit ungültig erklärt hatte: Diese Abkommen, mit denen man den Datentransfer zwischen den Mitgliedsstaaten der Europäischen Union und den USA legitimieren wollte, konnten nicht darüber hinwegtäuschen, dass die Gesetzgebung und die Rechtspraxis in den USA (insbesondere eingedenk der Zugriffsrechte der Geheimdienste und Sicherheitsbehörden nach dem Cloud Act) keine Garantien zum Schutz der Persönlichkeitsrechte, Privatsphäre und informationellen Selbstbestimmung europäischer Bürger geben können und wollen, um deren personenbezogene Daten es bei der Datenübermittlung geht.
Ausweg aus dem Cloud-Dilemma...
...Made in Germany
(BS/Prof. Dr. Heckmann) Der Koalitionsvertrag, den die designierte Regierungskoalition aus SPD, Bündnis 90/Die Grünen und FDP am 24.11.2021 präsentierte, verspricht Bewegung in der Digital- und Datenpolitik: So soll, bei aller hervorgehobenen Bedeutung des Datenschutzes, verstärkt auch die Datennutzung ermöglicht werden. Davon könnten nicht nur viele kleine und mittlere Unternehmen mit ihren innovativen Geschäftsmodellen profitieren, insbesondere durch den geplanten Rechtsanspruch auf Bereitstellung offener Verwaltungsdaten durch die Weiterentwicklung des “Open-Data-Gesetzes” hin zu einem Datennutzungsgesetz. Auch die rechtssichere Nutzung von Gesundheitsdaten könnte zum Beispiel die Pandemiebekämpfung verbessern, fehlt es doch insoweit bislang an einer effizienten, umfassenden Zugriffsmöglichkeit auf dringend benötigte Informationen.
Clash of Culture ist nicht zu verhindern
Das CloudDilemma verstärkt sich dadurch, dass sich in der EU und in den USA unterschiedliche Rechts und Datenschutzkulturen unversöhnlich gegenüberstehen: hier die verhältnismäßige Abwägung zwischen Freiheit und Sicherheit, dort der Vorrang der Sicherheit vor Freiheit. Dieser “Clash of Culture” ist deshalb unversöhnlich und unvermeidbar, weil das Internet als mediale Instanz Brücken als technologische Wunderwerke baut, die (Datenschutz)rechtlich im Nichts enden. Daran ändern auch die aktuellen Bemühungen um eine (Re)Aktivierung von Standardvertragsklauseln, mit denen eine datenschutzkonforme Datenübermittlung mehr vorgegaukelt als rechtlich abgesichert wird, nichts. Max Schrems, dessen Verfahren vor dem Europäischen Gerichtshof zu den zitierten Entscheidungen geführt haben, macht auch keinen Hehl daraus, dass eine Fortsetzung der Übermittlungspraxis über Wege wie die Standardvertragsklauseln zu einer gleichlautenden weiteren Entscheidung des EuGH führen wird (“Schrems III”).
Prof. Dirk Heckmann ist Inhaber des Lehrstuhls für Recht und Sicherheit der Digitalisierung an der Technischen Universität München. Foto: BS/Kilian Blees,bidt Findet sich ein Ausweg aus dem Cloud-Dilemma?
Abgesehen von der Nutzung eines datenschutzkonformen Einwilligungsmanagements (das sich im Einzelfall, aber nicht in der Masse der Fälle eignet) wird häufig auf den Schutz durch Anonymisierungstechniken hingewiesen. Auch der Koalitionsvertrag weist diesen Weg: “Wir suchen den intensiven transatlantischen Dialog zu Datensouveränität. (…) Wir fördern Anonymisierungstechniken, schaffen Rechtssicherheit durch Standards und führen die Strafbarkeit rechtswidriger De
Datenschutz und Datennutzung stehen sich oft konträr gegenüber – kann der geplante Rechtsanspruch auf Bereitstellung offener Verwaltungsdaten hier Abhilfe schaffen? Foto: BS/Wilfried Pohnke, pixabay.com
Anonymisierung ein. (… ) Auf Basis einer MultiCloudStrategie und offener Schnittstellen sowie strenger Sicherheits und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.” Dies nutzt freilich nichts, soweit die CloudNutzung auf Klardaten angewiesen ist. Licht am Horizont erscheint aber, wenn man die Hinweise des Europäischen Datenschutzausschusses genauer betrachtet, die dieser infolge der “Schrems II”Entscheidung veröffentlicht hat. Dieser konstatiert zunächst, dass “in der Variante des Cloud Computings derzeit kein zulässiger Weg für die Datenübermittlung in die USA” besteht. Der EDSA schließt aber nicht aus, “dass durch künftige technische Entwicklungen Maßnahmen möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass Zugang zu den unverschlüsselten Daten benötigt würde”. Und das könnte tatsächlich der Ausweg aus dem CloudDilemma sein: Wenn man eine technische Lösung entwickeln könnte, bei der Klardaten in der Cloud bearbeitet werden können, ohne dass diese in der Cloud erscheinen, wäre der gordische Knoten durchtrennt. Aber klingt das nicht nach einem Paradaxon?
Mehrebenensystem macht externe Clouds möglich
Das deutsche Unternehmen Rohde & Schwarz Cybersecurity antwortet mit seiner Lösung “R&S®Trusted Gate” auf genau diesen Vorschlag des EDSA und zeigt auf, dass es dort eine technische Lösung geben kann, wo das Recht in diesem CloudDilemma versagt. Die Besonderheit dieser Lösung liegt in der sicheren Gestaltung eines Mehrebenensystems: Danach werden die (personenbezogenen) Inhalte der sog. Verschlüsselungsebene von den CloudDiensten auf der sog. Geschäftsebene getrennt. Auf diese Weise können die Vorteile der externen CloudDienste genutzt werden, ohne dass personenbezogene Daten in ein “unsicheres Drittland” übermittelt werden. Die Unternehmen und Behörden behalten die Datenherrschaft und vermögen die Anforderungen der DSGVO in ihrer eigenen ITUmgebung zu erfüllen. Dafür tragen sie auch die Verantwortung. Dass diese Trennung auf technisch sichere Weise gelingt, garantiert der Hersteller Rohde & Schwarz Cybersecurity gegenüber seinen Kunden.
Zweifel werden beseitigt
Lässt sich die technische Umsetzung nach Herstellerangaben bewerkstelligen, dann werden auch die aktuell geäußerten Zweifel der Datenschutzaufsichtsbehörden im Hinblick auf die Nutzung der inkriminierten CloudDienste beseitigt: Mangels Übermittlung personenbezogener Daten in ein Drittland sind die strengen Vorgaben der Art. 44 ff. DSGVO nicht relevant. Es bedarf keines weiteren Nachweises eines gleichwertigen Datenschutzniveaus. Der Ausweg aus dem Dilemma ist buchstäblich “Made in Germany”.
