66 minute read
IT-Planungsrat beschließt Aufbau eines kommunal nutzbaren EfA-Marktplatzes .............................................................................Seite
Künftig können so auch neue Wertschöpfungsketten im EU-Binnenmarkt entstehen und neue datengetriebene Geschäftsmodelle entwickelt werden. GaiaX baut dabei keinen zentralen Datenpool auf. Die Daten bleiben dort, wo sie entstehen. Und sie bleiben stets in der Hoheit der Dateneigentümer. Dazu ist ein Architekturkonzept für die technische Infrastruktur nötig. Zusätzlich müssen Standards und Regeln für den Datenaustausch vereinbart werden. Diese Regeln orientieren sich an europäischen Werten und Vorstellungen von Datenschutz und IT-Sicherheit. Erklärtes Ziel ist die Erlangung digitaler Souveränität, die Schaffung einer europäischen Alternative zu den großen Hyperscalern. Es geht darum, Abhängigkeiten zu reduzieren, Lock-in-Effekte zu vermeiden und DSGVO-konforme, interoperable und für Nutzerinnen und Nutzer transparente Angebote zu schaffen. Organisationsstruktur von Gaia-X
Am Aufbau von Gaia-X sind viele Akteure aus Wirtschaft, Industrie, Wissenschaft und Verwaltung beteiligt. Die Organisationsstruktur von Gaia-X stützt sich auf drei Säulen: der Gaia-X Association, den nationalen Gaia-X Hubs und der Gaia-X Community, die die Anwenderperspektive einnehmen. Innerhalb dieser Sphären gibt es verschiedene Arbeitsgruppen und Gremien, die sich austauschen. Auch der Kontakt zu EUGremien wird sichergestellt. Mittlerweile haben sich in rund 20 EU-Mitgliedsstaaten Hubs gegründet, die als zentrale und länderspezifische Anlaufstellen fungieren. Dieses partnerschaftliche Vorgehen möglichst vieler Stakeholder schon in der Aufbauphase soll Akzeptanz, Wettbewerbsfähigkeit und Innovationskraft der Initiative sicherstellen. Alle Gaia-X Hubs stehen in engem Austausch, um ihre Aktivitäten abzustimmen, ihre Anforderungen an die zukünftige gemeinsame Infrastruktur zu formulieren und um mögliche regulatorische Hürden abzubauen. Im deutschen Gaia-X Hub organisieren sich Unternehmen und Experten in sogenannten fachlichen Domänen. Dazu gehören beispielsweise die Domänen Landwirtschaft, Energie, Finanzwirtschaft, Gesundheit, Industrie 4.0, Mobilität und auch der öffentliche Sektor. In den
Die Kontrolle behalten
Datenräume für die öffentliche Verwaltung in Deutschland und Europa
(BS/Tina Siegfried*) Ziele von Gaia-X sind der Aufbau einer sicheren und vernetzten Dateninfrastruktur und der Aufbau bzw. die Verknüpfung von Datenräumen über Institutionen und Staaten hinweg. Unternehmen sowie Nutzerinnen und Nutzer können Daten austauschen, und zwar so, dass sie darüber die Kontrolle behalten. Sie selbst sollen festlegen, was mit ihren Daten passiert und wo sie gespeichert werden, damit auf diese Weise die Datensouveränität gewährleistet werden kann.
Domänen werden Use Cases betrachtet und analysiert, welche Anforderungen aus ihrer Sicht an das gesamte Konstrukt Gaia-X bestehen. Anhand der Use Cases kann der konkrete Bedarf wie auch der Mehrwert einer digital souveränen Dateninfrastruktur verdeutlicht werden. Zurzeit arbeiten derzeit mehr als 850 Mitglieder in zehn Domänen an mehr als 65 Use Cases. Jeder, der hier mitmachen möchte, ist herzlich eingeladen, sich zu beteiligen und Teil des Netzwerks zu werden. In der Domäne öffentlicher Sektor arbeiten mehr als 130 Mitglieder daran, den Austausch zwischen Akteuren des öffentlichen Sektors und öffentlichen und privaten IT-Dienstleistern sowie Plattformbetreibern voranzutreiben und gemeinsame Maßnahmen zu ergreifen. Hierdurch sollen eine digital souveräne, resiliente und domänenübergreifende Dateninfrastruktur aufgebaut und die Datennutzung in der Verwaltung verbessert werden. Aufgrund der föderalen Struktur Deutschlands bedeutet dies auch, die Behörden auf allen Ebenen noch stärker als bisher über Gaia-X zu informieren und zur Mitarbeit zu motivieren. Zudem will die Domäne die speziellen Anforderungen des öffentlichen Sektors an das entstehende GaiaX-Architekturkonzept formulieren und sich dafür einsetzen, dass diese berücksichtigt werden.
Evidenzbasiertes Regierungshandeln ist gefragt
Das Potenzial der Nutzung von Daten ist bereits erkannt worden. Die EU-Datenstrategie schätzt den Wert der Daten für das Jahr 2025 auf insgesamt 829 Milliarden Euro. Im Jahr 2018 lag er noch bei 301 Milliarden Euro und machte damit immerhin 2,4 Prozent des Bruttoinlandprodukts der EU aus. Das enorme Nutzungspotenzial dieses Datenschatzes gilt es auszuschöpfen. In der öffentlichen Verwaltung ist das Bewusstsein für die “Macht der Daten” gestiegen, aber die Potenziale sind bei Weitem noch nicht ausgeschöpft. Wirtschaftsunternehmen erheben, analysieren und entscheiden schon seit Langem auf der Basis von verfügbaren Daten. Daten werden dort genutzt, ausgewertet und interpretiert, um Kundenservices zu verbessern, neue Geschäftsmodelle zu entwickeln und um Vorhersagen für zukünftige Entwicklungen zu treffen. Auch im öffentlichen Sektor ist die Erkenntnis gewachsen, dass Daten als Grundlage für politische Entscheidungen genutzt werden können. Rohe, unverarbeitete Daten als solche bringen noch keinen Mehrwert. Aber geeignet ausgewertet oder auch kombiniert mit anderen Daten und Informationen werden daraus entscheidungsrelevante Informationen. Die Visualisierung von Daten, z. B. in Form von Dashboards, unterstützt bei Entscheidungen, weil sich auf diese Weise Informationen bündeln lassen. Das hilft den Verantwortlichen, um in komplexen Situationen rechtzeitig mögliche Alternativen abwägen und informierte Entscheidungen treffen zu können. Die folgenden Beispiele verdeutlichen die Breite der Nutzungsmöglichkeiten: • Der Bedarf neuer Kita- oder
Schulbauten kann durch Auswertung der Entwicklung von
Einwohnerzahlen innerhalb
eines bestimmten Gebietes präzise bestimmt werden. • Aus Bauzeichnungen in Kombination mit Wetterdaten lässt sich das Verhalten von Bauteilen berechnen und damit die
Instandhaltung managen. • In Pandemiezeiten können Informationen über tagesaktuelle
Infektionszahlen und Impfquoten auf lokaler, regionaler, nationaler und internationaler
Ebene helfen, geeignete Maßnahmen zu ergreifen, die darauf abzielen, die Infektionszahlen zu verringern. • In den Jobcentern können Daten dazu genutzt werden, die
Beratung zurück ins Berufsleben schneller und individuell passgenauer zu gestalten.
Smarte Analysen können frühzeitig passende Präventionsmaßnahmen initiieren, um eine
Verschlechterung des Gesundheitszustands zu verhindern.
Das trägt zur Einsparung von
Millionenbeträgen in den öffentlichen Haushalten bei und kann schwierige Situationen in vielen Familien reduzieren. • Aus Satelliten- bzw. Luftbildern können Waldschadensereignisse wie Trockenheitsschäden maschinell und damit verlässlicher als mit dem menschlichen
Auge abgelesen werden. • Renteninformationen über verschiedene Versicherungsträger hinweg könnten für eine
Gaia-X will Datenräume zu einem Netz verknüpfen, welches europaweit über die Grenzen von Institutionen und Staaten trägt. Foto: BS/pixabay.com gezielte Vorsorgeplanung der
Bürger/-innen dienen und zeigen, wo ggf. noch Rentenlücken bestehen. Auf staatlicher Ebene würde es eine gesicherte Information über den aktuellen Versicherungsstand der Bevölkerung geben, die als Grundlage für weitere
Planungen oder Berechnungen genommen werden kann. • Der Einsatz von Machine Learning und Künstlicher Intelligenz hilft bei der Mustererkennung und Entscheidungen können (teil-)automatisiert werden.
Künstliche Intelligenz hilft heute bereits dabei Kreditkartenbetrug zu erkennen und kann auch im öffentlichen Bereich eingesetzt werden, um zum Beispiel Steuerbetrug zu erkennen. • Chatbots können die Beantragung von komplexen Verwaltungsleistungen unterstützen. • Automatische Text- und Spracherkennung im Bereich der Polizei und der Justiz trägt dazu dabei, Bearbeitungszeiten bei der Erstellung von Protokollen erheblich zu reduzieren.
Datensilos öffnen und eine Kultur des Datenteilens etablieren
Die öffentliche Verwaltung verfügt auf allen föderalen Ebenen über erhebliche Datenbestände in hoher Qualität, sie werden allerdings viel zu wenig genutzt. Und oft liegen Daten in ihren fachlichen Silos und werden oft auch nur dort verwendet. Ziel muss es sein, die Datensilos der Verwaltung zu öffnen, die Daten rechtssicher und nachfragegerecht aufzubereiten und allgemein in hoher Qualität mit offenen Schnittstellen für die digitale Nutzung zugänglich zu machen. Dafür muss aber noch stärker als bisher eine Kultur des Datenteilens etabliert werden. Von der öffentlichen Verwaltung erzeugte Daten sollen dem Gemeinwohl dienen. Deshalb sollten sie auch für Unternehmen, Start-ups und für Wissenschaft und Forschung nutzbar gemacht werden. Umgekehrt können auch Daten aus dem privaten Sektor von der öffentlichen Verwaltung für eigene Zwecke im Sinne von “data driven government” stärker genutzt werden. Die Bereitstellung von Daten der öffentlichen Hand unterliegt einer Reihe von Restriktionen, vor allem personenbezogene Daten unterliegen besonderen Anforderungen. Das Zweckbindungsgebot und das zersplitterte Datenschutzrecht werden häufig als Hemmnis betrachtet. Hier fehlt es vielfach an Rechtssicherheit und Klarheit in der Frage, welche Daten verwendet, weitergegeben und veröffentlicht werden dürfen. Gezielte Fortbildungen im Bereich Datenkompetenz können helfen, Rechtsunsicherheit abzubauen, zum Beispiel durch Fortbildungsprogramme auf kommunaler Ebene oder in einzelnen Fachbereichen. Um den Datenzugriff zu ermöglichen, müssen Infrastrukturen geschaffen werden. Gaia-X spielt hierbei eine entscheidende Rolle, weil hier Datenräume geschaffen werden und der Austausch von Daten durch interoperable Standards und verbindliche “Spielregeln” für den Zugang und die Verwendung von Daten organisiert wird. Für einen Datenraum des öffentlichen Sektors in Deutschland gibt es bereits erste Ansätze. Das Projekt data[port]ai versteht sich als Nukleus für die Schaffung eines solchen Datenraums. Bei data[port]ai geht es um den Aufbau eines kollaborativen Ökosystems aus Start-ups, öffentlichen IT-Dienstleistern, kleinen und mittleren Unternehmen, Politik, Verwaltung und Forschungseinrichtungen, die den Umgang mit Daten und die Nutzung von Algorithmen und Künstlicher Intelligenz erproben wollen. Das hochsichere Rechenzentrum von Dataport bietet eine moderne Umgebung für die Entwicklung und den Betrieb datenbasierter Lösungen auf KI-Basis. Unsere Partner können Services in einer sicheren Umgebung betreiben und darauf auch eigene Angebote entwickeln. Bereits vorhandene Lösungen sollen mit innovativen Ansätzen zusammengeführt und zum Nutzen aller erweitert werden. Dataport verspricht sich davon einen Innovationsschub für die Digitalisierung der öffentlichen Verwaltung und in den Unternehmen.
*Tina Siegfried ist Leiterin der Arbeitsgruppe Public Sector im Nationalen Gaia-X Hub sowie im Bereich Strategische Unternehmenssteuerung bei Dataport tätig.
Die schleppende Digitalisierung in Deutschland wird allseits beklagt. Dabei treiben derzeit gerade auf dem zukunftsweisenden Sektor der CloudTechnologien unterschiedliche Akteure so viele Vorhaben voran, dass es Beobachtern und potenziellen Kunden angesichts der Vielfalt von Ansätzen schwindlig werden kann.
Rahmenarchitektur aus dem IT-Planungsrat
Mit der gemeinsamen “Deutschen Verwaltungscloud-Strategie” hat der IT-Planungsrat von Bund, Ländern und Kommunen schon im Oktober 2020 das grundlegende Dokument zum Aufbau einer Cloud-Infrastruktur beschlossen. Darin verpflichtet sich die öffentliche Verwaltung auf die Einführung gemeinsamer Standards und offener Schnittstellen für ihre Cloud-Lösungen. Erklärtes Ziel ist es, eine föderale Cloud-Infrastruktur aus interoperablen Teilelementen zu etablieren, damit eine cloudübergreifende und wechselseitige Nutzung von Anwendungen ermöglicht wird. Haupttreiber vonseiten des Bundes ist hier das für digitale Souveränität zuständige Referat DG II 2 im Bundesinnenministerium (BMI). Auf seiner Sitzung am 29. Oktober 2021 legte der IT-Planungsrat jetzt nach und genehmigte die vorgeschlagene Zielarchitektur. Vorgesehen ist unter anderem die Etablierung einer gemeinsamen Koordinierungsstelle, die die DVS-Standardisierungsschicht weiterentwickelt und die künftigen föderalen Infrastrukturen steuert. Dazu gehört auch ein zentrales Cloud-Service-Portal, an das die zahlreichen CloudStandorte der Verwaltungen angebunden sind.
Über den Wolken
Die Deutsche Verwaltungscloud-Strategie geht in die Umsetzung
(BS/Dr. Barbara Held) Der IT-Planungsrat hat am 29. Oktober die Zielarchitektur der deutschen Verwaltungscloud-Strategie (DVS) beschlossen, die zum Maßstab für die Digitalisierung der Verwaltung in der Cloud werden soll – und damit auch richtungsweisend für andere Cloud-Angebote wie Microsoft Azure, Google/Telekom oder Gaia-X.
Multi-Cloud-Ideen aus dem BMF
Während im Geschäftsbereich des Bundesministeriums für Finanzen (BMF) das ITZBund die sogenannte Bundescloud aufbaut, ist das BMF seinerseits ebenfalls mit Überlegungen zu einem föderalen Multi-CloudAnsatz an die Öffentlichkeit getreten. Drei Komponenten sollen hier eine Rolle spielen: Erstens die Vernetzung der bestehenden Cloud-Angebote der Verwaltung im Bund und bei den Dienstleistern von Ländern und Kommunen, wie sie in der DVS angelegt ist; zweitens ein noch genau zu definierendes Projekt mit dem Hyperscaler Microsoft und gegebenenfalls deutschen Partnern; und schließlich die Option, in einem millionenschweren Großprojekt, von dem zuständigen Abteilungsleiter im BMF Harald Joos als “Greenfield-Ansatz” bezeichnet, eine “Nationale Souveräne Cloud” aufzubauen – überwiegend auf Basis von Open-Source-Software (OSS) und nationalen Providern, technisch aber auf HyperscalerNiveau. All das bedarf aber noch rechtlicher, technischer und wirtschaftlicher Prüfung. Einen gewissen Druck erzeugt die Ankündigung vom Microsoft, das in der deutschen Verwaltung fast flächendeckend genutzte MS Office ab 2025 nur noch in der Cloud betreiben zu wollen. In Sachen Verwaltungsclouds gebe es nach vorliegenden Informationen keine Parallelentwicklungen im BMF, erklärt die zuständige Unterabteilungsleiterin im BMI, Jutta Cordt, auf eine entsprechende Anfrage. Zum einen habe das BMF über die Gremien des IT-Planungsrats die DVS selbst mitgestaltet, zum anderen stehe man in ständigem Austausch mit den anderen Ressorts. Darüber hinaus: “Um eine föderale Multi-Cloud-Lösung implementieren zu können, müssen wir uns zunächst auf die DVS verständigen.” Dem IT-Planungsrat gehe es darum, eine Standardisierungsschicht (= DVS-Schicht) einzuführen, die die Verwaltung in die Lage versetze, Fachapplikationen via Service-Portal in unterschiedlichen Cloud-Umgebungen laufen zu lassen. Das gelte für OSS-Lösungen wie auch für Hyperscaler. Derzeit könne man beispielsweise eine für die Azure Cloud entwickelte Applikation weder bei Google noch AWS laufen lassen – und umgekehrt genauso wenig. Als erster operativer Schritt in Sachen DVS läuft seit Juli 2021 ein Proof of Concept (PoC), der die Interaktionen zwischen Softwarebetreiber/-lieferant und Plattformbetreiber beleuchtet. Praktisch getestet wird das DVSKonzept derzeit an sechs CloudStandorten der öffentlichen Hand unter den Rahmenbedingungen einer Multi-Cloud. Aktuell beteiligen sich 12 Datenzentralen aktiv an der Umsetzung sowie sechs Datenzentralen in einer passiv beratenden Rolle. “Konkret testen wir da, ob ein Rechenzentrum des einen Landes Cloud-Leistungen für ein anderes erbringen kann und ob die jeweiligen Applikationen in den jeweiligen Infrastrukturen lauffähig sind”, erklärt Jutta Cordt. Der aktuelle PoC ist ein rein technischer Test, rechtliche wie organisatorische Fragen warten noch auf Klärung. Zu Jahresende wird ein erster Erfahrungsbericht erwartet, der die Weiterentwicklung der DVSStandards unterstützen soll. Organisiert und finanziell getragen werden diese Aktivitäten derzeit noch von der Gremienstruktur und aus den Eigenleistungen der PoC-Beteiligten. Soll es mit der Cloud-Infrastruktur vorangehen, muss sich das allerdings ändern. Zukunft der Verwaltungscloud
Die Konzepte und vor allem die Umsetzungsbedingungen für Koordinierungsstelle und Service- Plattform müssen noch in den zuständigen Gremien abgestimmt werden. Zwar besteht Einigkeit zwischen Bund, Ländern und Gemeinden darüber, dass die Verwaltungscloud-Infrastruktur einer operativen Stelle bedarf, die Weiterentwicklung und Nachhaltung von Strategie, Standards und Infrastrukturen betreibt, aber die konkrete Zuordnung wird zurzeit noch diskutiert. Unter anderen kommt da die FITKO als föderales Strukturelement infrage oder auch GovDigital, weil sich da die öffentlichen IT-Dienstleister aus Bund, Ländern und Kommunen in einer eingetragenen Genossenschaft zusammenschließen.
Behörden Spiegel: Kurz nach Ihrem Antritt als Gaia-X-CEO haben Sie in einem Interview vorausgesagt, nach zwei Jahren Aufbauzeit für die Infrastrukturen würden wir ab 2023 ein exponentielles Wachstum der Gaia-XDienste sehen. Stehen Sie noch zu dieser Einschätzung?
Ein riesiger Thinktank für Europa
(BS) Seit Anfang März 2021 ist Francesco Bonfiglio CEO der Gaia-X AISBL, der belgischen Non-Profit-Gesellschaft, die Ende 2020 von den Initiatoren des Projekts ins Leben gerufen wurde, um Gaia-X eine länderübergreifende Dachorganisation zu geben. Bonfiglio verfügt über rund 30 Jahre Erfahrung im IT-Sektor. Nach rund acht Monaten als Geschäftsführer von Gaia-X AISBL zeigt er sich im Interview mit dem Behörden Spiegel sehr optimistisch. Das Gespräch führte Dr. Barbara Held.
Bonfiglio: Ich bestätige meine damalige Prognose und bin sogar noch optimistischer. Entscheidend ist, was wir in den vergangenen sechs Monaten erreicht haben: wir haben Gaia-X formell als belgische Non-Profit-AISBL gegründet und organisatorisch wie personell aufgestellt. Ursprünglich waren wir 22 Gründungmitglieder aus Frankreich und Deutschland. Am 29. März 2021 hat unser Vorstand dann insgesamt 234 Mitglieder an Bord geholt. Inzwischen sind es schon 310, Tendenz steigend. Ein weiterer Erfolgsindikator ist die Tatsache, dass wir inzwischen schon mehrere Releases der Dokumentierung publiziert haben, die Gaia-X definiert. Die Grundlagendokumente zur technischen Gaia-XArchitektur und zur Interaktion von Gaia-X-Komponenten sind veröffentlicht. In den nächsten Wochen geht ein weiteres abgestimmtes Dokument online, das die Akteure und ihre Rollen beschreibt. Gegen Ende des Jahres werden wir die Dokumentation zum Geschäftsmodell von Gaia-X veröffentlichen. Diese drei Perspektiven beschreiben umfassend, was Gaia-X ist, wie es funktioniert und wer es betreibt. Behörden Spiegel: Sind die Ziele von Gaia-X noch diejenigen aus der Gründungsphase oder haben sie sich auch weiterentwickelt?
Bonfiglio: Die veröffentlichten Releases stellen klar, dass Gaia-X nicht als europäischer Hyperscaler geplant ist. Vielmehr wollen wir bestehende wie künftige Cloud-Angebote unter einer übergreifenden Schicht aus transparenten Kontrollmechanismen und Governance vereinheitlichen, die gleichen Chancen für alle Markteilnehmer eröffnen. Wir entwickeln das Gaia-X-Konzept so, dass es offen für die Nutzung durch jedermann sein wird. Bei Gaia-X arbeiten wir an einer neuen Generation von Clouds. Als die Cloud-Technologie erfunden wurde, waren die Leute gar nicht am Wert der Daten interessiert. Alle wollten die Daten oben in der Cloud platzieren und von Dritten managen lassen, um damit Komplexität zu reduzieren und Kosten zu minimieren. Heute haben wir ein ganz anderes Bewusstsein: Wir wollen die Kontrolle über unsere Daten behalten und ihren Mehrwert nutzen. Mit Gaia-X wollten wir von Anfang an “Datenräume” (Data Spaces) kreieren. Diese sind ja keine physischen Räume, sondern
Fortsetzung “Über den Wolken” von S. 30
Auch über die langfristige Finanzierung der notwendigen Cloud-Infrastrukturen wird noch zu reden sein. Ein modifizierter Königsteiner Schlüssel kommt da infrage, aber auch andere Modelle. Auch da wird letztendlich der IT-Planungsrat entscheiden. Druck aus den Ländern
auch Hyperscaler wie Amazon, Microsoft, Alibaba und Huawei in ihre Reihen aufgenommen hat, um deren technischen Vorsprung für den beschleunigten Aufbau eines europäischen Cloud-Ökosystems zu nutzen. Gaia-X – Grundlage für technische Interoperabiltät
Francesco Bonfiglio ist Geschäftsführer der Gaia-X AISBL.
Foto: BS/privat
inhaltliche Angebote zum Data Sharing, die für die Beteiligten einen Mehrwert schaffen. Sektoren wie Automobilindustrie, Finanzdienstleistungen, Baugewerbe etc. werden in Zukunft nicht mehr durch ihre Produktionskosten getrieben, sondern von ihrem Wert auf dem Markt. Dieser hängt zu großen Teilen von dem Added Value von 30 bis 40 Prozent ab, der aus Daten hinzukommt. Gaia-X ist keine Unternehmung der IT-Wirtschaft für die IT-Wirtschaft. Wir sprechen hier über reale Wirtschaft. Wir können nicht tatenlos zusehen, wie andere Akteure unser Leben und unsere Wirtschaft bestimmen.
Behörden Spiegel: Jenseits der Publikation auf der Gaia-XWebseite – wie sollen die von Gaia-X-Mitgliedern abgestimmten Standards und Regelwerke um- bzw. durchgesetzt werden? Source-Software basiert und die damit von allen Interessierten nachgenutzt werden kann. Das dritte Produkt sind die “Labels”, d. h. ein Satz von Komponenten und Prozessen, mit dem wir die Konformität der Dienste mit GaiaX-Prinzipien und der Architektur verifizieren wollen. Das schließt auch ein zentrales Register ein, in dem angemeldeten Dienste und dazugehörige Testergebnisse fälschungssicher erfasst sind. Dieses Register wird weder von der AISBL noch von einem einzelnen Mitglied betrieben werden. Vielmehr wird es in einer dezentralisierten Architektur gemanagt werden. Als Technologie bietet sich da heutzutage die Blockchain an, die eine gegenseitige Überprüfung aller Beteiligten ermöglicht. Im Ergebnis erhält der Kunde eine verlässliche Angabe darüber, in welcher Hinsicht der abgerufene Dienst den Prinzipien und Spezifikationen von Gaia-X entspricht.
Bonfiglio: Die AISBL Gaia-X entwickelt gemeinsam drei Produkte: Erstens sind das die abgestimmten Spezifikationen zur Architektur. Zweitens gehört dazu eine entsprechende ReferenzImplementierung, die auf OpenBehörden Spiegel: Wie kann ein Cloud-Anbieter ein Gaia-Xkonformes Angebot machen?
Bonfiglio: Zunächst muss er die Komponenten, mit denen er die Gaia-X-Konformität testet, bei sich installieren, damit sein Angebot auf Gaia-X-Konformität getestet und in das Register aufgenommen werden kann. Genau wie das Internet müssen die Clouds der Zukunft verteilt implementiert und föderal organisiert sein – mit einem übergeordneten Kontrollmechanismus, der nicht menschlich, sondern technologiebasiert verwirklicht wird. Genau das entwickelt die AISBL derzeit.
Behörden Spiegel: Vor einigen Wochen hat die Deutsche Telekom, ein Gründungsmitglied von GaiaX, verkündet, dass sie gemeinsam mit dem Hyperscaler Google eine “souveräne Cloud” aufbauen wird. In deutschen Medien ist dies überwiegend als ein Rückzug aus Gaia-X interpretiert worden.
Bonfiglio: Die Annahme, dass sich die Deutsche Telekom aus Gaia-X zurückzieht, ist völlig falsch. Die Entscheidung der Telekom, sich mit einem der großen Cloud-Betreiber zusammenzutun, ist wirtschaftlich begründet. Und ich glaube, es ist die richtige Entscheidung, wenn man möglichst schnell auf Cloud-Technologien umsteigen will. Im Moment kommt es darauf an, die mit 20 Prozent des Datenaufkommens sehr geringe Cloud-Nutzung in Europa rasch zu steigern. Dazu müssen Sie alle Tools und Technologien nutzen, die verfügbar sind, solange diese sich für Gaia-X öffnen. Gaia-X und Gemeinschaftsprojekte wie das von Telekom und Google passen perfekt zusammen. Das wird zu einer engen transatlantischen Zusammenarbeit führen. Ich glaube, das wird zu einer Erfolgsgeschichte. Auf der anderen Seite bietet sich den europäischen Akteuren eine Möglichkeit, Alternativen zu solchen Projekten zu entwickeln, da sie die Möglichkeit haben, ihre Produkte unter denselben Bedingungen einer Gaia-X-Governance anzubieten wie die Hyperscaler.
Behörden Spiegel: Gaia-X wollte ursprünglich gerade der Verwaltung, die nach digitaler Souveränität strebt, Vorteile bringen. Ausgerechnet in diesem Sektor lassen sich aber kaum überzeugende Use Cases finden.
Bonfiglio: Wir haben europaweit schon eine Reihe von Use Cases der öffentlichen Hand aufgenommen. Allerdings kommt hier ein anderes Phänomen ins Spiel: Öffentliche und private Ökosysteme verzahnen sich immer mehr. Denken Sie nur an den Gesundheitssektor: Was ist da noch öffentlich und was privat organisiert? Da verschwimmen die Grenzen – auch die der Datenräume. Auf der anderen Seite fördert die öffentliche Hand die Entwicklung von Gaia-X-Diensten. Nicht nur das deutsche Ministerium für Wirtschaft hat kürzlich 16 Projekte mit Fördermitteln bedacht. Die französische Verwaltung hat gerade ein vergleichbares Fördervorhaben begonnen, das in zwei Unterprojekte aufgeteilt ist und das deutsche Programm inhaltlich ergänzt. Das europäische Gaia-X-Puzzle wird sehr koordiniert aufgebaut. Inzwischen gibt es 16 nationale “Gaia-X Hubs”, die ihre Datenräume erschaffen. Diese Hubs arbeiten ihrerseits eng mit den zuständigen Ministerien zusammen, die für paneuropäische Koordination verantwortlich sind. Das ist insbesondere im Hinblick auf die 750-Milliarden-Gelder des europäischen Covid-Fonds wichtig. Mindestens 20 Prozent dieser Fördergelder sollen in die Digitalisierung gehen. Gaia-X spielt hier eine bedeutende Rolle als Berater der nationalen Regierungen, die buchstäblich nach Ideen für technologische Projekte lechzen. Es ist eine großartige Zeit, um bei einem solchen Großvorhaben dabei zu sein. Unzählige kleine und große Player produzieren unentwegt neue Ideen. Gaia-X ist ein riesiger Thinktank für Europa.
Die Bundesländer haben sich Mitte Oktober mit einem Schreiben an die zuständigen Minister und Staatssekretäre im Kanzleramt, BMF und BMI deutlich positioniert. Aus ihrer Sicht ist die flächendeckende Einführung der CloudTechnologie unabdingbare Voraussetzung für eine erfolgreiche Digitalisierung der deutschen Verwaltung. Energisch unterstützen die Länder die strategischen Vorarbeiten zur DVS. “Bund und Länder brauchen Lösungen”, heißt es in dem Positionspapier. Die Perspektive bleibt dabei offen: Neben einer föderalen CloudInfrastruktur im Eigenbetrieb von Bund und Ländern (digitale Souveränität), könne es auch künftig aus fachlichen Gründen erforderlich sein, kommerzielle Public-Cloud-Angebote zu nutzen. Und dann ist da noch… Gaia-X
Schon 2019 hat das Bundesministerium für Wirtschaft (BMWi) im Schulterschluss mit den Kollegen in Frankreich das europäische Projekt Gaia-X angeschoben, das seinen Nutzern “Datensouveränität, Datenschutz, Datensicherheit und Datenverfügbarkeit” verspricht – und damit unter anderem amerikanische Daten-Zugriffe unter dem US Cloud Act abwehren soll. Darüber hinaus will Gaia-X Europas technologische Ressourcen zum Aufbau einer datenbasierten Wirtschaft mobilisieren. Das Projekt hat inzwischen organisatorisch wie inhaltlich Fahrt aufgenommen, aber das anfängliche Interesse der deutschen Verwaltung an Gaia-X ist inzwischen unter anderem deswegen abgekühlt, weil die Vereinigung Aus Sicht des BMI gibt es keinen Widerspruch zur DVS und ihrer Umsetzung. Gaia-X sei für die gesamte Gesellschaft und insbesondere für die Wirtschaft zuständig. IT-Rat und IT-Planungsrat dagegen definierten digitale Souveränität für die IT der öffentlichen Verwaltung und stellen daher weitergehende Ansprüche jenseits der Datensouveränität. Die DVS sei in Deutschland das abgestimmte Leitdokument, an dem sich alle auszurichten hätten, die der Verwaltung ihre Dienste anbieten wollten, erklärt Abteilungsleiterin Cordt. Technische Interoperabilität als Zukunftsperspektive
Von allen Seiten angestrebt wird zumindest ein Mindestmaß an technischer Interoperabilität zwischen den unterschiedlichen Cloud-Modellen: Nach derzeitiger Planung sollen die Standards der “Souvereign Cloud Stack (SCS)” die einheitliche technische Grundlage von DVS und Gaia-X bilden. In diesem Zusammenhang hat das BMWi, mit ausdrücklicher Unterstützung mit BMI, BMF, BMVg und BMBF, ein Gaia-XProof-of-Concept (PoC) für die öffentliche Verwaltung angestoßen. Mit dem PoC solle anhand einer konkreten Anwendung und unter Berücksichtigung aller datenschutzrechtlichen und -technischen Rahmenbedingungen eine Blaupause für die Verwendung von Gaia-X-Angeboten in der öffentlichen Verwaltung geschaffen werden, heißt es aus dem Ministerium. In diesem Sinne kann das GaiaX-PoC als ein weiteres Element der Deutschen VerwaltungscloudStrategie (DVS) aufgefasst werden.
Neue Nachnutzungschancen für Kommunen
IT-Planungsrat beschließt Aufbau eines kommunal nutzbaren EfA-Marktplatzes
(BS/Matthias Lorenz) Leistungen des Onlinezugangsgesetzes (OZG) werden möglichst nach dem Einer-für-alle(EfA)-Prinzip gebaut. Ein Land entwickelt, alle anderen nutzen nach – das soll für Standardisierung, Zeit- und Kostenersparnis sorgen. Für die Kommunen, die letztendlich für die Abwicklung eines Großteils der zu digitalisierenden Leistungen verantwortlich sind, besteht aber das Problem, dass ihnen schlicht der Überblick fehlt, welche Leistungen schon von einer anderen Stelle umgesetzt sind. Der Beschluss nach der aktuellen, 36. Sitzung des IT-Planungsrats soll dem nun Abhilfe schaffen.
Konkret legte das Gremium fest, dass ein virtueller Marktplatz aufgebaut werden soll, der die Nachnutzung von EfA-Leistungen auch den Kommunen ermöglicht. Laut IT-Planungsrat solle der Marktplatz anbieteroffen gestaltet werden, damit auch Leistungsangebote anderer Nachnutzungsmodelle, wie zum Beispiel der FIT-Store der Föderalen IT-Kooperation (FITKO), dort angeboten werden könnten. Aufgebaut werden soll der virtuelle Marktplatz von der Genossenschaft govdigital. Diese teilte mit, Ziel sei es, die OZG-Leistungsbündel Gebietskörperschaften und öffentlichen IT-Dienstleistern bundesweit zur Verfügung zu stellen. “Im Hauptprojekt soll govdigital gemeinsam mit der FITKO eine Informationsplattform entwickeln und betreiben”, heißt es seitens der Genossenschaft. In einem ersten Schritt sei demnach geplant, die bereits in den FIT-Store eingestellten EfA-Leistungen als Angebote in den Marktplatz aufzunehmen. Die Verknüpfung mit weiteren Leistungen soll anschließend durch ein Modell zur technischen Bereitstellung und automatisierten Vertragsabwicklung verknüpft werden. Der FITStore solle somit als Basis fungieren und als Bestandteil des neuen Marktplatzes fortgeführt und weiterentwickelt werden. Bis jetzt erreicht govdigital rund 65 Prozent aller Kommunen. Matthias Kammer, Geschäftsführer der Genossenschaft, verspricht jedoch: “Gleichzeitig werden wir daran arbeiten, auch für Kommunen erreichbar zu werden, die bisher noch nicht an den Leistungen der Genossenschaft für ihre Mitglieder teilnehmen können.” In der letzten Sitzung des IT-Planungsrats für dieses Jahr ging es jedoch nicht nur um die Verbesserung der Nachnutzung von OZGLeistungen für Kommunen. Auch wurde über die Frage gesprochen, wie die Digitalisierung beschleunigt werden kann. Schließlich komme die Optimierung interner Abläufe durch zeitgemäße digitale Lösungen den Bürgerinnen und Bürgern sowie den Unternehmen zugute. Der IT-Planungsrat will in diesem Zusammenhang die technische und rechtliche Gleichstellung von digitalen und schriftlichen Nachweisen prüfen. Auch müsse die praktische Umsetzung bei der Vereinheitlichung von Rechtsbegriffen, die unter anderem für die Einführung des “Once-Only”-Prinzips erforderlich seien, näher besprochen werden. In diesem Zusammenhang betont auch Jan Pörksen, Chef der Hamburger Senatskanzlei und scheidender Vorsitzender des IT-Planungsrates: “Unser Ziel ist es – über die Bereitstellung von Online-Diensten hinaus –, vollständig digitalisierte Prozesse zu schaffen, die nicht nur einen guten Service für Bürgerinnen und Bürger ermöglichen, sondern auch die Behördenarbeit effizient und dienstleistungsorientiert gestalten.” Deshalb trete man für die Verbesserung der rechtlichen Rahmenbedingungen ein. Ab 2022 wird der Bund den Vorsitz im IT-Planungsrat übernehmen. Ob diese Funktion dann noch der aktuelle Bundes-CIO Dr. Markus Richter bekleiden wird, ist allerdings unklar. Fest steht hingegen, dass der IT-Planungsrat seinen zehnten Fachkongress am 9. und 10. März 2022 wieder in Präsenz stattfinden lassen wird. Für die in Saarbrücken gastierende Veranstaltung sind Kommunen, Landes- und Bundesverwaltungen sowie wissenschaftliche Einrichtungen dazu aufgerufen, sich aktiv zu beteiligen. Vorschläge können noch bis zum 22. November eingereicht werden.
KOMPETENZZENTRUM ÖFFENTLICHE IT (ÖFIT)
November 2021
Kompetenzzentrum Öffentliche IT
Waldbrände mit Daten löschen
Waldbrände werden nicht zuletzt durch den Klimawandel zunehmend verheerender. Ein Demonstrator zeigt, wie sich Daten für Prävention, Bekämpfung und Folgenbewertung einsetzen lassen. So zeigt sich das Potenzial von evidenzbasierten Entscheidungen zur Bewältigung von Krisen.
Gesunde Wälder sind ein Schlüssel für Nachhaltigkeit. Sie tragen zum Erhalt der Artenvielfalt bei, dienen als Erholungsgebiete für Menschen und leisten einen Beitrag zur Abmilderung des Klimawandels, indem sie CO2 speichern.
Unsere Wälder sind jedoch bedroht. Dürre und Hitze schwächen Bäume, wodurch sie weniger resistent gegenüber Schädlingen und Feuer sind. Monokulturen, Schädlinge und Wetterextreme stellen also Bedrohungen für gesunde Wälder dar, die sich in ihrem Effekt zudem gegenseitig verstärken. Insbesondere aufgrund klimawandelbedingter Wetterextreme werden Brände zunehmend großflächiger und führen zu enormen ökologischen und ökonomischen Schäden. Mitunter bedrohen sie Kritische Infrastrukturen oder sogar Menschenleben. Der Erhalt von gesunden Wäldern und die Prävention und Bekämpfung von Bränden sind daher wichtiger denn je.
Bei der Waldbrandprävention und bekämpfung besteht derzeit das Problem, dass relevante Daten weit verteilt sind und oftmals manuell zwischen Systemen übertragen werden müssen. Das kann schwerwiegende Folgen etwa für die Einsatzplanung der Feuerwehr haben, da Informationen zu spät zur Verfügung stehen oder ganz fehlen. Die Erhebung, Sammlung, Analyse und Visualisierung von Daten können helfen, zeitnah evidenzbasierte Entscheidungen zu treffen und die Waldbrandprävention und bekämpfung zu erleichtern.
Dafür müssen verschiedene Daten an zentraler Stelle zusammengeführt und ergänzende Daten erhoben werden. Dazu gehören etwa EchtzeitDaten zur lokalen Wetterlage, die mit vernetzten Sensoren engmaschig erhoben werden können. Zudem sind GeoDaten zum Waldzustand relevant, die Auskunft über Holzvorrat und Totholzanteil, zur Artenvielfalt und zum Verhältnis von Nadel zu Laubholz geben. Wichtig sind auch Daten zu Kritischen Infrastrukturen, etwa Kraftwerken, und zu Ressourcen zur Brandbekämpfung, etwa Löschwasserquellen.
Aus Daten zum Wetter und zum Waldzustand können laufend Kennzahlen für das jeweilige lokale Brandrisiko berechnet werden. In einem BrandrisikoIndex zusammengefasst können die Daten so als Grundlage für ein leicht zu erfassendes Frühwarnsystem dienen, das automatisiert Warnungen an relevante Stellen versendet. Fließen die Daten in mathematische Modelle ein, können diese genutzt werden, um die Richtung und Geschwindigkeit eines Brandes zu prognostizieren. Anhand von Prognosen lässt sich der Ressourceneinsatz so planen, dass er möglichst effektiv und effizient erfolgt.
Für eine unkomplizierte Bedienung durch die Entscheiderinnen und Entscheider der öffentlichen Verwaltung sollten die Daten und die Ergebnisse der Modelle durch Dashboards anschaulich visualisiert werden. Wichtig ist, dass die Visualisierung überregional erfolgt, da Waldbrände nicht vor Stadt, Gemeinde oder Landesgrenzen haltmachen. Zusammen mit der Software AG hat ÖFIT einen Demonstrator für ein solches Dashboard entwickelt. Mittelfristig erlaubt ein datenbasierter Ansatz auch eine kontinuierliche Verbesserung der Brandprävention und bekämpfung. Anhand von über die Zeit gewonnen Erkenntnissen ist es etwa möglich, Erhebungsbedarf für Daten zu identifizieren und Prozesse sowie Modelle zu verbessern.
Um tatsächlich die datenbasierte Waldbrandprävention und bekämpfung zu ermöglichen, müssen das Einpflegen von Daten und die Modellierung als Aufgaben angenommen werden. Dazu gehört, dass erforderliche Kompetenzen und Prozesse etabliert werden und den verantwortlichen Mitarbeiterinnen und Mitarbeitern dauerhaft Ressourcen zur Verfügung gestellt werden. Es handelt sich um eine kontinuierliche Aufgabe, die in den nächsten Jahren zunehmend wichtiger zu werden droht.
Bei der Waldbrandprävention und -bekämpfung besteht derzeit das Problem, dass relevante Daten weit verteilt sind und oftmals manuell zwischen Systemen übertragen werden müssen. Foto: BS/ Matryx, pixabay
Weitere Einblick in und Ansichten des entwickelten Demonstrators finden unter: www.oeffentliche-it.de/-/ waldbraende-mit-daten-loeschen.
Dabei ist es für Entscheider/innen oft schwer, die richtigen Prioritäten zu setzen, weil der OZG-Katalog eine hohe Komplexität aufweist und vielfältige Aktivitäten dazu in Deutschland gerade parallel laufen. Am Anfang stehen meist grundlegende Fragen im Raum, wie z.B.: • Welche Prozesse sind OZGrelevant? • Welche Prozesse sind für die
Bürgerinnen und Bürger besonders wichtig? • Welche Prozesse bringen in der jeweiligen Kommune die meisten Serviceverbesserungen oder Einsparungen? • Gibt es schon fertige Lösungen, die übernommen werden können? • Wie gut ist die jeweilige Kommune schon in der Umsetzung und mit welchem Stand wären die Akteure vor Ort zufrieden?
Der OZG-Quickcheck sorgt für Klarheit
An dieser Stelle sorgt der OZGQuickcheck der PICTURE GmbH für einen schnellen und umfassenden Überblick über den Digitalisierungsreifegrad einer Kommune und macht einen Weg hin zu einer besseren Digitalisierung greifbar und – vor allem – selbst bestimmbar. Mit dem OZG-Quickcheck nehmen Digitalisierungsbeauftragte und Entscheider/-innen den Digitalisierungskompass selbst in die Hand und versetzen sich in die Lage, einen individuellen Weg zur Schaffung einer vollumfänglich digitalisierten Verwaltung einzuschlagen und dabei die verfügbaren EfA(Einer-für-alle)-, Landes- oder Standardlösungen mit Bedacht einzusetzen. Der OZG-Quickcheck bietet individuelle Priorisierungskriterien unter Berücksichtigung der bundes- und landesspezifischen Vorgaben. So wird anhand der lokalen Anforderungen stringent priorisiert und es werden nur die wichtigsten Dinge betrachtet. Entscheider/-innen erhalten einen Überblick über die dringendsten Handlungsfelder. Mit dem OZG-Quickcheck werden die OZG-relevanten Leistungen in der Organisation zunächst nach ihrer Umsetzungspriorität identifiziert, der derzeitige OZG-Reifegrad bestimmt und die weiteren Schritte festgelegt. Gemeinsam mit den für die Digitalisierung verantwortlichen Akteuren erarbeitet PICTURE, welche Leistungen des OZGKatalogs für die Organisation tatsächlich wichtig sind. So kann eine Priorisierungsreihenfolge für die umzusetzenden Leistungen ermittelt werden. Damit steuern Entscheider/-innen die Modernisierung ihrer Verwaltung aktiv und werden nicht ständig von neuen “Wahrheiten” getrieben.
Der OZG-Quickcheck
Wo stehen die Kommunen bei der Umsetzung?
(BS/Johannes Schwall/Martin Instinsky*) Das Zieldatum Ende 2022 hängt über den Köpfen von Digitalisierungsbeauftragten, CDOs und CIOs, denn für die Umsetzung des Onlinezugangsgesetzes (OZG) reicht die einfache Bereitstellung von z. B. Online-Formularen nicht aus. Vielmehr sind medienbruchfreie Prozesse durch die Kopplung von Fachverfahren, Dokumentenmanagement-, Workflow- oder sonstigen Systemen und Portalen einzuführen.
OZG-relevante Prozesse und ihr Reifegrad pro Fachamt
Grafik: BS/ PICTURE GmbH Vorgehen passt zu vorhandenen Ressourcen
In einem mehrstufigen Prozess wird zunächst das Vorgehen für die jeweilige Verwaltung angepasst: Zunächst wird eine Priorisierung der OZG-Leistungen für die lokalen Anforderungen festgelegt, dann werden die Organisationseinheiten ausgewählt, mit denen relevante Kennzahlen wie Fallzahlen, Digitalisierungsstand und -fähigkeit erhoben werden. Die durchgeführte Reifegradanalyse berücksichtigt nicht nur die “reine” OZG-Seite, sondern wertet auch individuelle Rahmenbedingungen hinsichtlich des Personals, Servicelevels und der IT aus. So kann u. a. herausgefunden werden, wo es vielleicht im Hause oder darüber hinaus schon gute (und fertige) Lösungen gibt. In einem agilen Umsetzungsworkshop werden die Erkenntnisse ausgewertet und eine konkrete Entscheidungsgrundlage für die Verwaltungsspitze in Form von priorisierten Leistungen, Reifegradstufen (Ist und Soll) und Maßnahmen zur Umsetzung erarbeitet. So können die eigenen strategischen Zielsetzungen im Bereich der Verwaltungsmodernisierung und Digitalisierung mit den Vorgaben des Onlinezugangsgesetzes übereingebracht werden. Mit diesem Ergebnis liegt ein Steuerungswerkzeug vor, das für die weitere Kommunikation sowohl innerhalb der Verwaltung als auch mit Kund(inn)en sowie mit der Politik eingesetzt werden kann. Mit dem OZG-Quickcheck können Verwaltungen das “drohende” Datum der OZG-Umsetzung in einen Vorteil verwandeln und sich aktiv mit der eigenen Zukunft beschäftigen. Alle Leistungen werden sie nicht rechtzeitig umsetzen können – das ist auch nicht sinnvoll. Der Quickcheck zeigt, welche Leistungen am meisten nachgefragt werden und den meisten Nutzen stiften. Weitere Informationen zum OZGQuickcheck unter www.picturegmbh.de
*Johannes Schwall ist Produktverantwortlicher OZG-Quickcheck und Managementberater bei der PICTURE GmbH. Martin Instinsky ist Teamleiter Beratung bei der PICTURE GmbH.
Das Bundesgesetz zur Förderung des elektronischen Rechtsverkehres schreibt die flächendeckende Einführung der elektronischen Akte in Strafsachen verbindlich bis zum 31.12.2025 vor. Das Potenzial der Digitalisierung liegt in der fallbezogenen und rechtskonformen Verknüpfung der Strafakten und unterstützt die behördenübergreifende Zusammenarbeit. Hierbei wird die rechtskonforme Integration von Verfahren der Künstlichen Intelligenz in den Aktensystemen selbst noch nicht berücksichtigt. Erst die Kombination der Strafakten mit analytischen KI-Methoden im Rahmen der Modernisierung und Transformation der IT der Polizeien auf Bundes- und Länderebene macht das volle Potenzial sichtbar: • neue digitale Ermittlungsdienste gegen die wachsende
Internet- und Cyber-Kriminalität, • die Beschleunigung sowohl von
Ermittlungsverfahren als auch der Vorgangsbearbeitung. Dazu fehlen jedoch noch souveräne und sichere Dateninfrastrukturen für die gemeinsame Ermittlungsarbeit von Polizei und Staatsanwaltschaft bzw. für den Datenaustausch zwischen Bundespolizei und den Polizeien der Länder und der Landeskriminalämter.Um den Anforderungen von Polizei und Justiz gerecht zu werden, müssen föderale Datenräume geschaffen werden, die die Datenhoheit der beteiligten Behörden bewahren und die Verwaltungsvorschriften zum Geheimschutz beachten. Im Sinne dieses Ansatzes können bestehende Führungssysteme, Polizeidatenbanken und Auskunftssysteme sowie Vorgangs- und Fallbearbeitungssysteme mit Bund- und Länderinformationssystemen mithilfe föderaler Datenräume integrativ vernetzt werden. Am Beispiel eines kooperativen Krypto-Raums zum Austausch von Strafakten und digitalen Beweismitteln lassen sich die Vorteile föderierter Datenräume erklären. Der Austausch von sensiblen Daten zwischen der leitenden Staatsanwaltschaft und den ermittelnden Polizeibehörden stellt beide Akteure nämlich bisher vor pragmatische Hindernisse und offene Fragen: Wann wird wem auf welchem Weg mit welcher Notwendigkeit eine Akte zur Verfügung gestellt? Wie kann die leitende Behörde aktenführend bleiben, wenn die Akte selbst oder in Kopie (meist sogar noch auf Papier) an eine ermittelnde Behörde weitergereicht wird, diese Änderungen am Inhalt vornimmt und es somit zu nichtsynchronen Inhalten kommt? Ein kooperativer Krypto-Raum ermöglicht das Zusammenspiel der Interakteure im Sinne einer Vorgangsbearbeitung auf Basis der Regularien des Geheimschutzes und damit auf einer Vertrauensbasis, die einer “normalen” Verwaltungsakte und erst recht dem Verteilen von Papierakten weit überlegen ist. In diesem Raum legt eine Staatsanwaltschaft eine Strafakte ab und ermächtigt über die Weitergabe von Krypto-Schlüsseln eine ermittelnde Polizeibehörde, auf die codierten Informationen der Akte zuzugreifen. Die Behörde kann ihrerseits Beweismittel ebenfalls verschlüsselt darin hinterlegen, die die Staatsanwaltschaft dann, da sie die Datenhoheit als aktenführende Instanz behält, instantan einsehen kann. So wird der Krypto-Raum unmittelbar zur digitalen Asservatenkammer, die zeitgleich als Vorgangsbearbeitungssystem funktioniert: Jede “Bewegung” in diesem Raum wird geeignet protokolliert, Workflows lassen sich wie in elektronischen Aktensystemen gestalten. Seine Mächtigkeit spielt dieser Ansatz insbesondere dann aus, wenn Dienste für KI, die Analysen und Auswertungen auf den digitalen Asservaten fahren, zum Einsatz kommen: Das Zusammenspiel dieser Teilnehmenden geschieht unmittelbar, d.h. Zeiten für den Datentransport und Gefahren des Verlusts der Datenkontrolle werden eliminiert. Technisch bildet das Produkt SINA der secunet AG diesen Raum ab. Materna realisiert als IT-Dienstleister fachliche Nutzungsszenarien und integriert darin abgesicherte und souveräne KI-Dienste. Der Aufbau solcher Dateninfrastrukturen wird entscheidend sein, um den zukünftigen Herausforderungen in der polizeilichen Ermittlungsarbeit und in der Strafverfolgung gerecht zu werden. Die besonderen Anforderungen von Polizei und Justiz können bei der Umsetzung der europäischen und nationalen Digitalisierungsstrategie und insbesondere bei der Umsetzung einer souveränen Dateninfrastruktur, wie sie mit dem Projekt Gaia-X angestrebt wird, stärker berücksichtigt werden.
Föderierte Datenräume
(BS/Thomas Feld/Dr. Alexander Fronk*) In der gemeinsamen Ermittlungsarbeit und bei der Strafverfolgung durch Polizei und Justiz spielen die elektronische Strafakte und analytische Methoden der Künstlichen Intelligenz (KI) eine immer größere Rolle. Materna entwickelt sichere Lösungen zu föderierten Datenräumen für Behörden und Organisationen mit Sicherheitsauftrag.
*Thomas Feld ist Vice President Data Economics bei Materna und Dr. Alexander Fronk ist ThemenManager im Unternehmen.
Bereits im Februar 2021 ist dessen Nutzung gegenüber dem Vorjahr um 500 Prozent angestiegen. Dies liegt am Fortschritt beim OZG, an der Einführung von Nutzerkonten sowie der Möglichkeit, aufgrund des Verwaltungsverfahrensgesetzes mit dem Online-Ausweis auch schriftformwahrende Anträge einreichen zu können; aber auch an der aufgrund der Corona-Pandemie unabdingbaren Notwendigkeiten, sich mit dem Online-Ausweis zu beschäftigen und die vorhandenen Angebote zu nutzen.
Die Nutzer sind bereit, auch etwas weniger “benutzerfreundliche” Systeme in Kauf zu nehmen, wenn die dahinterstehende Anwendung einen Mehrwert liefert: den Schutz der eigenen Identität und der eigenen Daten. Viele Nutzerinnen und Nutzer von OnlineBanking dürften da sofort an die neuen Login-Prozesse denken, die von den Banken im Rahmen der Zahlungsdienstrichtlinie PSD2 eingeführt wurden.Im Kontext der Online-Ausweisfunktion zeichnet sich nun ein weiterer Schritt in eine noch einfachere Nutzung ab: die Einführung einer sogenannten Smart-eID. Noch im Winter 2021/2022 wird es möglich sein, die Smart-eID mittels AusweisApp2 nutzen zu können. Hier wird der kartenbasierte Ausweis genutzt, um die Identitätsdaten in die sichere Hardware eines Smartphones abzuleiten. Nur so können die hohen Anforderungen an Datensicherheit und Datenschutz gewährleistet werden. Selbst bei Verlust des Smartphones können die Daten aus der sicheren Hardware auch durch versierte Hacker nicht ausgelesen werden. Im Anschluss an den Personalisierungsprozess kann das Smartphone für das Online-Ausweisen verwendet werden, ohne dass der physikalische Ausweis aus der Tasche geholt werden muss. Damit werden Hürden für die tägliche Nutzung deutlich gesenkt. Ein dezentraler Ansatz mit einer ähnlichen Grundidee entsteht mit den Initiativen rund um SelfSovereign Identities. Der relativ neue Ansatz im Umgang mit elektronischen Identitäten findet großen Anklang. Self-Sovereign Identities (SSI) stellen mit den sogenannten “verifiable claims” den Benutzer in den Mittelpunkt der eID-Verwaltung und können so Use Cases ermöglichen, die in den klassischen Systemen nur mit einem sehr viel größeren Aufwand möglich wären. Wie im echten Leben nehmen wir je nach Kontext eine andere Rolle ein. Diese Rolle kann ebenfalls als digitale Identität bezeichnet werden. Der Grundgedanke ist dabei, dass beispielsweise ein Arbeitgeber einer Mitarbeiterin die Zugehörigkeit zur Firma bestätigen kann, in dem er die entsprechenden “Claims” (Behauptungen) signiert. In diesem Beispiel muss der Arbeitgeber keinen Service bereitstellen, über den der Beschäftigungsstatus abgerufen werden kann, sondern er stellt einen entsprechenden Claim aus. Der Mitarbeiter signiert seine Claims ebenfalls und hält die dafür nötigen Schlüssel unter seiner eigenen Kontrolle. Diese Claims werden durch den Benutzer nur aktiv und willentlich gezeigt. Dafür kommen in der Regel Wallets zum Einsatz. Bei besonders schützenswerten Daten können wieder sichere Elemente im Smartphone genutzt werden. Die eigentlichen Identitätsdaten können aus dem Wallet kommen oder auch an beliebiger Stelle verschlüsselt im Internet liegen. Für die Integritätssicherung der Daten, die öffentlich zur Verfügung stehen müssen, kommen sogenannte “distributed ledger” (auch “Blockchains”) zum Einsatz. Diese hochspannende Entwicklung hat das Potenzial, viele neuartige Use Cases hervorzubringen. Die staatlich verifizierte Identität in Form der Online-Ausweisfunktion, mobil und kartenbasiert, dient der hochwertigen Identitätsfeststellung. Zur Ableitung von anderen kontextbasierten Identitäten stellt SSI eine hervorragende Grundlage bereit. Erste Ergebnisse aus den vom Bundeswirtschaftsministerium geförderten “Schaufenster-eID-Projekten” werden 2022 verfügbar sein. Aktuell gehen wir von circa sechs Millionen Online-AusweisNutzern aus. Ihnen stehen allerdings circa 50 Millionen OnlineBanking-Nutzer gegenüber. Da der Finanzsektor ähnlich hoch reguliert ist wie der öffentliche Sektor, haben sich diese 50 Millionen Menschen gegenüber ihrem Kreditinstitut schon einmal mit einem hoheitlichen Dokument ausgewiesen. Und: Sie sind mit den Mechanismen ihrer Bank und den mittlerweile verschärften PSD2-Vorgaben hinsichtlich der Authorisierung eines Vorganges vertraut. Mit der sicheren BankID könnten problemlos qualifizierte Fernsignaturen bezogen werden. Auch daran arbeitet Governikus mit unterschiedlichen Partnern, entsprechende Projekte befinden sich bereits in der Pilotierungsphase. Denkbar wäre auch, mittels Bank-ID das Niveau eines Nutzerkontos anzuheben. Die Chancen, die sich aus dem Brückenschlag zwischen Public und Finance Sector hinsichtlich elektronischer Identitäten ergeben, sind also groß und sie ermöglichen kurzfristig eine vollumfängliche Nutzung von OZG-Leistungen.
Die Smart-eID
Elektronische Identitäten als Schlüsselfaktor
(BS/Petra Waldmüller-Schantz/Hartje Bruns*) Elf Jahre nach Einführung des Online-Ausweises sind etliche der ursprünglichen Hürden ausgeräumt – zum Beispiel die Notwendigkeit eines Kartenlesers – und fast alle Bürgerinnen und -bürger sind im Besitz eines Online-fähigen Ausweises.
*Petra Waldmüller-Schantz ist Leiterin der Unternehmenskommunikation und Prokuristin, Hartje Bruns ist Director Products bei Governikus GmbH & Co. KG.
Die KI-Plattform für die Bundesverwaltung Technologietrends für den öffentlichen Sektor
(BS/Dr. Alfred Kranstedt) Die Basis für einen vertrauenswürdigen Einsatz von Künstlicher Intelligenz (KI) ist im staatlichen Umfeld digitale Souveränität. Der Staat bürgt dafür, dass die erhobenen Daten der Bürgerinnen und Bürger dauerhaft und uneingeschränkt geschützt sind. In ihrer “Strategie Künstliche Intelligenz” beschreibt die Bundesregierung das enorme Potenzial von KI für die öffentliche Verwaltung. Im ITZBund wurde auf Basis einer KI-Referenzarchitektur als Antwort darauf eine universelle KI-Plattform entwickelt, um innovative Vorhaben in der Bundesverwaltung mit KI-Methoden stabil umzusetzen.
In den Bundesministerien und -behörden ist die Verwaltungsmodernisierung eines der zentralen Themen, dem Einsatz von KI-Methoden kommt hierbei eine entscheidende Rolle zu. Im praktischen Einsatz dominieren drei KI-Domänen: KI-gestützte Prognosen und Szenarien ermöglichen es, multi-kausale Entwicklungen vorauszusehen und Szenarien zu ermitteln, z. B. für die Entwicklung von wirtschaftlichen Eckwerten. Die Gruppierung und Klassifizierung von großen Da-
tenmengen erlaubt es, Strukturen und besondere Zustände zu erkennen, die sich klassischer Analytik und Statistik entziehen, so z. B. bei der Risikobewertung von Finanztransaktionen. Die Analyse von Texten und Bildern mit Verfahren des maschinellen Lernens ermöglichten es, “weiche” Informationen klassifizierbar zu machen und so z. B. Bedeutungen von Texten zu bewerten und Zusammenhänge zu erkennen. Dies veranschaulicht, dass KI zu einer reifen Technologie gewachsen ist.
Herausforderungen bei der Umsetzung Im Sommer 2019 erarbeitete das ITZBund eine KI-Referenzarchitektur. Ziel dieser Referenzarchitektur ist es, Standards für eingesetzte Technologien, aber insbesondere auch für die Integration von Modellentwicklung und laufender KI-Produktion zu setzen. Relevante Domänen und Anwendungsfälle für die Behörden können “On-Premise” beim ITZBund betrieben werden. Dabei wird der gesamte KI-Lebenszyklus von der Entwicklung, dem Training bis zur Produktion integriert umgesetzt. Die Mandantenfähigkeit der Plattform (sog. Tenants) ermöglicht es, unterschiedliche Vorhaben verschiedener Behörden auf einer Infrastruktur zu betreiben. Eine hohe Skalierbarkeit sichert die Ausbaufähigkeit sowohl der einzelnen Verfahren als auch der Anzahl der Verfahren ab. Mit der Umsetzung der KI-Referenzarchitektur ermöglichen wir den Einsatz innovativer Technologien und einen stabilen Betrieb in den Netzen des Bundes. Beispiel für Innovationsrolle des ITZBund Die erste Bewährungsprobe erfuhr die KI-Referenzarchitektur im Frühjahr 2020. Dort wurde das erste KI-Projekt auf ihrer Grundlage gestartet. Es handelt sich um das Verfahren “ANSWER” des Bundeszentralamtes für Steuern. Dafür werden Methoden der KI zur Analyse, Verknüpfung und Auswertung von Steuerdaten genutzt. Die Umsetzung erfolgte mit den SAP-Lösungen SAP Data Intelligence und SAP HANA. Ende Oktober 2020 ging das Verfahren planmäßig produktiv und wird
seitdem stetig ausgebaut. Auf einer universellen KI-Plattform kommen eine Vielzahl von unterschiedlichen Methoden des Maschinellen Lernens und der Texterkennung zum Einsatz, die auch qualitätsgesichert von der Entwicklung in die Produktion überführt werden. Die Umsetzung dieses ersten KI-Vorhabens auf einer universellen KI-Plattform war ein erfolgreicher Schritt und eine Blaupause für weitere KIProjekte. Es belegt, dass die Bundesverwaltung zweifelsohne in der Lage ist, innovative Lösungen schnell und effizient zu liefern. Im Frühjahr 2021 erfolgte bereits der Startschuss für ein weiteres KI-Verfahren, Dr. Alfred Kranstedt ist seit 2017 Direktor des ITZBund. das ebenfalls die universelle Plattform nutzt. Foto: BS/ITZBund IT-Dienstleister wie das ITZBund leisten damit ihren Beitrag zur Ausgestaltung der digitalen Souveränität und erschließen KI für die Verwaltung. Hierfür sind gezielte Investitionen notwendig. Aber auch Mut, diese Experimente zu wagen.
Im DSO-Chefgespräch
Auf der Plattform Digitaler Staat Online (DSO) wird am 18. November um 10:30 Uhr ein rund halbstündiges Chefgespräch ausgestrahlt, welches Dr. Eva-Charlotte Proll, Mitglied der Geschäftsleitung des Behörden Spiegel, mit ITZBundDirektor Dr. Alfred Kranstedt führte.
Weitere Informationen und eine kostenfreie Anmeldung unter: www.digitaler-staat.online
Es herrscht Nachholbedarf …
… auf dem Weg zur digitalen Verwaltung
(BS/Michael Hlevnjak*) Dank Smartphone und mobilem Internet sind Menschen heute immer und überall vernetzt. In Zukunft soll dies auch für Städte gelten: unzählige Endpunkte – von Laternen über Straßen bis hin zu Versorgungsnetzen – sollen vernetzt werden, um die Lebensqualität zu erhöhen. Der Blick in das Hier und Heute zeigt allerdings, dass eine solche Smart City noch Zukunftsmusik ist. Gerade in Behörden und Ämtern gibt es aus Sicht der Bürger noch Raum für Entwicklung.
Ob Arzttermin, Lebensmitteleinkauf oder Fitnesskurs – spätestens die Covid-19-Pandemie hat viele alltägliche Besorgungen und Aktivitäten in den digitalen Raum verlagert. Dies wünschen sich Bürger auch für Behördengänge. Allerdings sind hier die Möglichkeiten häufig noch ungenutzt: So findet in einer aktuellen Studie von Citrix knapp jeder Zehnte (acht Prozent), dass die Behörden, mit denen er in Berührung kommt, digital gut aufgestellt seien. Entsprechend wünschen sich drei von fünf Bürgern (58 Prozent) mehr digitale Services von staatlichen Einrichtungen.
Größter Bedarf in der mittleren Altersgruppe
Der größte Bedarf herrscht allerdings nicht unter den vermeintlich besonders technikaffinen jüngeren Generationen, sondern in der Altersgruppe der 35- bis 54-Jährigen. Doch das Ergebnis überrascht nur auf den ersten Blick, denn viele Ereignisse, die Behördengänge nach sich ziehen, fallen in diesen Lebensabschnitt: Eheschließungen und Geburten müssen beim Standesamt gemeldet werden, für Reisen ins nichteuropäische Ausland wird ein Reisepass vom Bürgeramt benötigt und wer ein Unternehmen gründet, muss gleich mehrere Behörden aufsuchen. All solche Termine sind in vielen Städten noch immer auf Papier angewiesen und mit zeitlichem Aufwand verbunden. Daher wünschen sich die Teilnehmer der Studie auch am dringlichsten die Möglichkeit, Anträge digital zu stellen (68 Prozent) und Termine online zu vereinbaren (67 Prozent). Insbesondere die Einführung digitaler Anträge und Akten würden, nicht nur den Service für die Bürger verbessern, sondern auch die Mitarbeiter der Behörde entlasten und ihnen den Arbeitsalltag erleichtern, da sie bei ihrer Arbeit nicht mehr auf Papierunterlagen angewiesen sind.
Eigene Entscheidung der ITAbteilung nicht der Regelfall
Nur bei etwas mehr als einem Drittel (37 Prozent) der in der Studie ebenfalls befragten ITExperten aus der Verwaltung trifft die IT-Abteilung selbst die IT-bezogenen Entscheidungen. In einigen Fällen (fünf Prozent) sagen die IT-Verantwortlichen, sie würden sogar nicht einmal von der fachfremden Abteilung mit der Entscheidungsgewalt konsultiert. Diese Eingrenzung des Handlungsspielraums der IT stellt eine Herausforung für die Umsetzung von Digitalisierungsprojekten dar. Landkreis Rastatt zeigt, wie Digitalisierung geht
Wie Digitalisierung in Behörden funktionieren kann, zeigt hingegen der Landkreis Rastatt. Die Verwaltungsbehörde setzt auf Lösungen, die Applikationen und Desktops von jedem Endgerät aus bereitstellen und diese zentral verwalten sowie einen sicheren Umgang mit und Austausch von Daten ermöglichen. Die Mitarbeiter haben dadurch jederzeit und von jedem Ort aus Zugriff auf alle benötigten Dateien und Informationen und können zum Beispiel Anträge wesentlich schneller verarbeiten. Zudem konnte das Landratsamt so trotz pandemiebedingter Einschränkungen seinen Betrieb für die Bürger aufrechterhalten.
*Michael Hlevnjak ist als Director Public Sector Germany für die Firma Citrix tätig. (BS/Pierre-Adrien Hanania) “Be like water!” – diese Weisheit von Kung-Fu-Legende Bruce Lee inspirierte den IT-Dienstleister Capgemini zu seiner aktuellen TechnoVision für den öffentlichen Sektor. Koryphäen aus zwölf Ländern tauchen in diesem Technologie-Kompass in ihre Fachgebiete ein – u. a. Daten, Infrastruktur, User Experience, Anwendungen oder Prozesse – und zeigen zukunftsrelevante Technologien sowie deren Einfluss auf den Arbeitsalltag der öffentlichen Verwaltung.
Viele Regierungsorganisationen stehen vor einem schier unendlichen Ausmaß an Herausforderungen in einer immer komplexer werdenden Welt, deren Eigendynamik Stillstand nicht duldet. Sie müssen nicht nur lebenswichtige und lebensrettende Services für die Bürgerinnen und Bürger bereitstellen, sondern auch die Weichen für die wirtschaftliche Entwicklung stellen und Vorreiter im Krisenmanagement sein, etwa bei der Covid-19-Pandemie, beim Klimawandel oder bei CyberAngriffen auf Kritische Infrastrukturen. Die souveräne, sichere Nutzung von Technologie und Daten kann die öffentliche Verwaltung dabei unterstützen, ihr Serviceangebot bürgernäher zu gestalten, intelligentere und umweltfreundlichere Lebensräume zu schaffen, Gesundheitsversorgung und Bildung zu verbessern und die Bevölkerung zu schützen.
Alles muss fließen
Das Element Wasser bringt auf den Punkt, was in einer Welt stetigen Wandels wichtig ist: Alles muss fließen, formbar und anpassungsfähig sein – kurz gesagt, agil. Was Bruce Lee im Wesen des Wassers erkannte, können wir ebenso auf die Technologie und deren Entwicklung übertragen. Technologie formt die heutige Welt, sie durchströmt unseren Alltag und es kommt darauf an, sie uns positiv zunutze zu machen – auch im öffentlichen Sektor. Es geht dabei nicht um das Ob, sondern vielmehr um das Wie. Darüber allerdings sollten wir konstruktiv diskutieren und bestehende Vorurteile über Bord werfen, wohl wissend, dass neben der Technik auch Kreativität und Kulturwandel auf die Tagesordnung der Verwaltung gehören. Hierbei sollten wir uns immer bewusst sein, was im Zentrum allen Strebens steht: nicht etwa das Projekt oder die Software – sondern der Mensch! Technologie ist kein Selbstzweck, sondern soll dem Gemeinwohl dienen.
gestaltet werden kann, praxisnah untermauert von weltweiten ProjekPierre-Adrien Hanania ist ten sowie von IdeKI-Experte für den Public Sector bei Capgemini. en zur konkreten Umsetzung in neue Foto: BS/Capgemini Kontexte. Bruce Lees Rat “Empty your mind!” ist ein guter Ausgangspunkt, um gemeinsam mit frischen Ideen auf eine lebenswerte Zukunft hinzuarbeiten. Hier in die TechnoVision Public Sector eintauchen!
Die Schleusen sind geöffnet
Noch hängt Deutschland bei der Digitalisierung seiner Verwaltung anderen Nationen hinterher, aber die konzertierten Aufholaktionen wachsen. Mit dem Onlinezugangsgesetz und der Single-Digital-Gateway-Verordnung hat sich die öffentliche Verwaltung dem digitalen Wandel verbindlich verpflichtet. Der Bund bezuschusst im Rahmen des Konjunkturpakets die Umsetzung von OZG und Registermodernisierung mit zusätzlichen 3,3 Mrd. Euro und hat damit die Schleusen zur erfolgreichen Verwaltungsdigitalisierung geöffnet. Die TechnoVision enthält vielfältige Anregungen, wie diese
MELDUNG Deutschland in 3D
(BS/gg) Das Bundesamt für Kartographie und Geodäsie (BKG) hat mit der Erstellung eines “digitalen Zwillings” begonnen, der bis 2024 ganz Deutschland in einem bundesweiten 3D-Datensatz abbilden soll, um damit die Folgen des Klimawandels oder anderer Katastrophen sowie die Entwicklung von Sicherheit und Verkehr zu simulieren.
Wie Deutschland zum Digitalland werden kann
von Martin Kaloudis
Es ist kein Geheimnis, dass Deutschland bei der digitalen Transformation zu den Schlusslichtern gehört. Unter anderem liegt das an einer unserer größten Tugenden in der “alten Welt”: Gründlichkeit. Projekte werden mit langem Atem geplant, kalkuliert, beschlossen und umgesetzt, damit sich das Ergebnis eine kleine Ewigkeit lang bewährt. In manchen Bereichen mag sich das noch rentieren, für die Digitalisierung ist es Gift. Digitale Lösungen lassen sich nicht wie ein Haus oder eine Brücke “bauen”. IT wird vom zivilen Markt getrieben, mit immer kürzeren Innovationszyklen und exponentieller Beschleunigung in der Entwicklung und Verfügbarkeit neuer Technologien. Beschleunigung wird somit zum kritischen Erfolgsfaktor: Innovative Anwendungen und modernisierte IT müssen zum Einsatz bereit sein, bevor sie schon wieder der Schnee von gestern sind. Agile Projekte statt Goldrandlösungen
Zunächst brauchen wir also eine Bereitschaft, in Inkrementen loszulaufen, bevor das große Ganze projektiert ist. Ob Blockchain, Virtual Reality oder Künstliche Intelligenz: Bei der BWI, dem IT-Systemhaus und Digitalisierungspartner der Bundeswehr, klopfen wir die neuesten Technologien auf konkrete Anwendungsfälle ab. Die-
Martin Kaloudis ist Chief Executive Offi cer (CEO) und Vorsitzender der Geschäftsführung der BWI GmbH, des ITSystemhauses der Bun-
deswehr. Foto: BS/BWI
se werden in Experimenten in enger Zusammenarbeit mit der Bundeswehr erprobt. So können Ideen durch den frühen Start Marktreife erlangen, bevor sich die Technologie dahinter selbst überholt. Es geht dabei auch nicht nur um Hightech. Bereits “einfache” Anwendungen modernisieren den Arbeitsalltag: Die Bw-eToken-App, womit Soldatinnen und Soldaten unbürokratisch kostenfreie Tickets für Bahnfahrten lösen, oder USGOnline für den Antragsprozess zum Unterhaltsausgleich im Reservistendienst. Als digitale “Häppchen” können wir solche Anwendungen schnell realisieren und zugleich den Anspruch unserer Kunden erfüllen, dass sie stabil und sicher laufen. So kommt die Digitalisierung voran. Ein weiterer Punkt: Kein noch so großer Akteur stemmt Digitalisierungsprojekte ganz allein. Das gilt wegen der Schnelligkeit, mit der gehandelt werden muss, der Komplexität der nötigen Lösungen und erst recht angesichts des leergefegten IT-Arbeitsmarkts. Wir setzen auf verlässliche, leistungsstarke Industriepartner mit komplementären Stärken. Mit Partnern auf Augenhöhe können wir an der Spitze des Fortschritts agieren. Zudem entstehen durch anspruchsvolle Großprojekte wie die Modernisierung der Bundeswehr im gesamten Partner-Ökosystem attraktive IT-Arbeitsplätze – und das trägt mit dazu bei, den gefährlichen Brain-Drain in Richtung der Silicon Valleys dieser Welt zu vermindern und qualifizierte Arbeitskräfte in Deutschland zu halten. Ein womöglich noch größerer Hebel liegt schließlich in der öffentlichen Verwaltung. Neue Software oder neue Fregatte – der bürokratische Ablauf ist heute fast gleich und wird damit vielleicht der Fregatte, aber auf keinen Fall der Software voll gerecht. Beschleunigen heißt auch hier umdenken und umstrukturieren: Projektmanagement statt Ablauforganisation, fl ache Hierarchien statt Linienzuständigkeiten, fl exible Budgets statt Jahresplanungen. Zudem geht es natürlich um die Finanzen, einen größeren IT-Etat im Staatshaushalt. Es ist doch eindeutig, dass etwa die Bundeswehr nur digital transformiert auf dem Gefechtsfeld der Zukunft und im Cyber-Raum bestehen und ihren Schutzauftrag auf Landes- und Bündnisebene erfüllen kann. Wie sehr unser Wohlstand und gar der Erhalt unserer demokratischen, westlichen Lebensform in allen Bereichen vom Gelingen des digitalen Wandelns abhängen, muss endlich verstanden werden. Deutschland ein Digitalland? Das kann funktionieren, wenn wir agil und schnell ins Handeln kommen – ohne dass dies auf Kosten von Sicherheit, Datenschutz und Betreibbarkeit der IT-Systeme geschieht. Die BWI als ein wesentlicher Akteur bei der digitalen Transformation der Bundeswehr und des Bundes setzt sich mit allen ihren Möglichkeiten dafür ein.
Aber auch deutliche Vertrauenslücke bei KI
(BS/Patrick Pongratz) Künstliche Intelligenz hat erhebliches Potenzial auch für die öffentliche Hand – da sind sich Experten aus IT, Politik und Verwaltung einig. Die öffentliche Akzeptanz für und das Vertrauen in die Technologie ist aber noch stark ausbaufähig. Das zeigt der neue “Trust in AI Index” von SAS, der deutsche Medienbeiträge und Tweets seit 2019 laufend analysiert.
Noch vor der Bundestagswahl im September hat Olaf Scholz auf einer Veranstaltung des Digitalverbandes Bitkom Defi zite bei der Digitalisierung in Deutschland eingeräumt und dafür vor allem Mängel in der Umsetzung verantwortlich gemacht. “Deutschlands digitale Zukunft ist nicht so gut, wie wir sie uns wünschen würden”, sagte der Finanzminister der Regierung Merkel. Das soll sich mit Fördermitteln in Milliardenhöhe ändern – und einer der zentralen Hoffnungsträger ist Künstliche Intelligenz (KI). Die Bundesregierung selbst hat in ihrer “Nationalen Strategie für Künstliche Intelligenz” zwölf Handlungsfelder identifi ziert, bei denen KI einen wesentlichen Beitrag zur Modernisierung und Digitalisierung leisten kann. Eines davon: “KI für hoheitliche Aufgaben nutzen und Kompetenzen der Verwaltung Ein aktuelles Beispiel ist die analytisch gestützte Intensivbettenplanung in der Corona-Pandemie. Viel Potenzial hat die risikobasierte Steuerung: KI lernt, aus den Daten Zusammenhänge zwischen Merkmalen und Ereignissen zu erkennen. So können Risiko-Scores für bestimmte Vorgänge oder Anträge ermittelt werden. Darüber hinaus kann KI anhand der Daten zeitlich fortlaufende Aktivitäten prüfen und ein Risikoniveau bestimmen. Daraus lassen sich frühzeitig Maßnahmen ableiten, um entsprechende Risiken zu minimieren. Ein Beispiel hierfür sind optimierte Investitionspläne in Infrastruktur oder Bildung.
anpassen”. Das Ziel: bessere und effi zientere Verwaltungsdienstleistungen für die Bürgerinnen und Bürger anzubieten. Die Bundesregierung selbst will durch den Einsatz von KI in der Verwaltung eine Vorreiterrolle einnehmen. Prädestiniert für den Einsatz von KI Tatsächlich verfügen die öffentlichen Verwaltungen in Deutschland über eine ideale Grundlage, um KI nutzbringend einzusetzen: Daten, die täglich anwachsen – Gesetze, Verwaltungsvorschriften, Ausführungsbestimmungen, personenbezogene Angaben der Bürgerinnen und Bürger. Denn wo immer es darum geht, Datenlagen schnell zu beurteilen, Entscheidungen zu treffen und Zukunftsszenarien zu simulieren, ist KI an Effi zienz und Nutzen kaum zu überbieten. Das ist keine Zukunftsmusik: Neben dem naheliegendsten Anwendungsfeld, der Automatisierung von Bürgerservices – sind bereits verschiedene Szenarien mit KI realisierbar. KI-gestützte Netzwerkanalyse macht Verbindungen zwischen Personen, Organisationseinheiten, Ereignissen, Orten und Zeitperioden sichtbar. Dies erlaubt Sachbearbeitern, Zusammenhänge zwischen Daten aus verschiedensten Quellen herzustellen – zum Beispiel bei der Erkennung von organisiertem Betrug im Steuerumfeld. Strategische Unterstützung liefern Was-wäre-wenn-Szenarien. Sie simulieren verschiedenste Handlungsoptionen und unterstützen Sachbearbeiter bei Entscheidungen sowie bei der Abschätzung der Folgen. KI-gestützte Szenario-Analysen helfen, Wechselwirkungen zu verstehen.
Trotz dieser Potenziale und trotz der eindeutigen Strategie der Bundesregierung herrscht in der öffentlichen Verwaltung nach wie vor Verunsicherung gegenüber KI vor. Zwar sind gemäß einer aktuellen Patrick Pongratz ist Director Public & Commercial bei SAS. Foto: BS/SAS Studie von adesso 65 Prozent der Befragten davon überzeugt, dass das Investment in KI zu Vorteilen führt. Aber: Für Behörden fühlt sich das Thema KI in vielen Bereichen noch “fremd” an. Und jeder zweite Befragte ist sogar davon überzeugt, dass es Widerstand gegen KI gibt. Ein dazu passendes Ergebnis zeichnet sich auch in der im November erscheinenden Studie Curiosity@Work von SAS ab, die den Stellenwert von Neugier als Motivation für Arbeitnehmer und Organisationen erfasst – und in der die öffentliche Verwaltung weltweit anderen Branchen hinterherhinkt. Dass KI aber generell ein Vertrauensproblem hat, zeigt der neue “Trust in AI Index” von SAS. Der Index ermittelt ein Meinungsbild im deutschen Sprachraum zum Thema KI und analysiert dazu mittels Text Analytics und Sentiment-Analyse Beiträge in Qualitätsmedien und Tweets für einen monatlich aktualisierten Score. Die Datenbasis besteht derzeit aus rund 50.000 Artikeln in Medien und 240.000 Tweets seit Anfang 2019. Der durchschnittliche Sentiment-Score in den ersten drei Quartalen 2021 liegt bisher bei 52 auf einer Skala von 0 (totale Ablehnung) bis 100 (totale Zustimmung). Das bedeutet, dass KI in den Medien nur schwach positiv eingestuft wird – den positiven Stimmen stehen also viele kritische gegenüber. Im September sind Letztere noch angestiegen, besonders wegen der kritischen Diskussion um die vorgeschlagenen EU-Richtlinien zu KI. Euphorie sieht anders aus. Sowohl in der Öffentlichkeit als auch in den Verwaltungen ist also noch viel Überzeugungsarbeit und kultureller Wandel erforderlich, damit KI so zum Innovationsmotor werden kann, wie sich die Bundesregierung das vorstellt.
MELDUNG BMU will KI für Klimaschutz einsetzen
(BS/lma) Das Bundesumweltministerium (BMU) hat die zweite Runde der Förderinitiative “KILeuchttürme für Umwelt, Klima, Natur und Ressourcen” gestartet. Gesucht werden laut Ministerium Projekte, die mithilfe Künstlicher Intelligenz (KI) den Klimaschutz und die Energiewende vorantreiben und die Risiken der Technologie eingrenze. Projektskizzen können bis zum 30.Novemeber 2021 eingereicht werden. Für die Förderung bis in das Jahr 2025 stehten voraussichtlich 66 Mio. Euro bereit.
Das Reifegradmodell m2
In kleinen Schritten erfolgreich digitalisieren
(BS/Prof. Dr. Heike Markus) Die Digitalisierung in der öffentlichen Verwaltung ist kein Selbstzweck, sondern vor allem eine Voraussetzung für die wirtschaftliche Entwicklung in Deutschland. Das Thema Nutzerorientierung muss daher im Vordergrund stehen, und zwar unabhängig davon, ob es um die Bearbeitungsdauer von Anträgen geht oder um das Thema Bildung – so spielt zum Beispiel die Verfügbarkeit von digitalen Lehrinhalten und technischer Ausstattung an Schulen eine wichtige Rolle für die Vorbereitung von Kindern auf die Herausforderungen in der Arbeitswelt. Digitale und bürgerorientierte Prozesse sind damit die Voraussetzung für Flexibilität und Handlungsfähigkeit.
Doch häufig fehlt es in der öffentlichen Verwaltung daran, das Thema Digitalisierung greifbar zu machen und ein Vorgehen zu finden, um Digitalisierungs-
projekte erfolgreich umzusetzen. Von großer Bedeutung ist dabei, dass die Digitalisierung verschiedene Dimensionen innerhalb einer Organisation betrifft. Dazu gehören neben den Technologien vor allem Prozesse, Organisationsstrukturen und die Führungskultur. Aber auch Themen wie Qualifikation der Mitarbeiter/-innen und der Umgang mit Daten sind wichtige Erfolgsfaktoren. Und natürlich stellt sich die Frage, welches Ziel mit der Digitalisierung in der eigenen Organisation verfolgt werden soll. Nur mit einem Ziel vor Augen können die einzelnen Schritte dorthin definiert und aufeinander aufgebaut werden. Die Schwierigkeit bei der Umsetzung liegt häufig darin, dass jede Organisation, Kommune oder ganz allgemein jede Behörde unterschiedlich aufgestellt ist hinsichtlich der Systeme, der Qualifikation von Mitarbeiter/innen oder des Führungsstils, um nur einige Beispiele zu nennen. Es existiert daher kein Patentrezept für die Digitalisierung, sondern jede Organisation muss für sich den richtigen Weg finden, um erfolgreich zu sein. Dieser Weg funktioniert nur aus der eigenen Organisation heraus. Genau an diesem Punkt setzt das digitale Reifegradmodell m² an, das von Professor Thomas Meuche und der Autorin entwickelt wurde und von der Media Solutions GmbH mit digitalen Lösungen unterstützt wird. Beide sind an der Hochschule Hof tätig und leiten gemeinsam das dort angesiedelte Kompetenzzentrum Digitale Verwaltung. Es berücksichtigt alle für die Digitalisierung relevanten Dimensionen einer Organisation und beginnt damit, dass Führungskräfte und Mitarbeiter/innen aus der jeweils eigenen Perspektive Fragen zum digitalen Reifegrad aller Dimensionen beantworten. Die daraus anonym erfassten Ergebnisse dienen dann als Spiegel in die eigene Organisation und ermöglichen eine konstruktive Diskussion zur Ermittlung der relevanten Ansatzpunkte in Richtung Digitalisierung. Wenn zum Beispiel Fragen nach der Offenheit gegenüber neuen Technologien oder nach dem Mehrwert neuer Systeme sehr unterschiedlich betrachtet werden, dann stellt sich die Frage, ob entweder die Kommunikation innerhalb der Organisation verbessert werden muss oder ob die Systeme überhaupt die Anforderungen der Anwender/innen erfüllen. Aufgrund der Tatsache, dass die Ergebnisse der Befragung einen Spiegel der eigenen Organisation darstellen, können aus diesen auch Maßnahmen abgeleitet werden, die gezielt die Lücken der jeweiligen Organisation in Richtung Digitalisierung schließen können. Zudem reifen die Erkenntnisse hinsichtlich der Anforderungen aus der Digitalisierung innerhalb der eigenen Organisation, was wesentlich zum Erfolg der geplanten Schritte beiträgt. Fehlendes Verständnis für integrierte Prozesse, die Nutzung von Daten oder der Einsatz neuer Technologien führen häufig dazu, dass die Vorteile der Digitalisierung nicht gesehen und die Potenziale
neuer Technologien nicht genutzt werden. Kompetenzentwicklung und Qualifikation sind daher wichtige Maßnahmen auf dem Weg zur Digitalisierung. Im nächsten Schritt des digitalen Reifegradmodells m² geht es um die Formulierung von Zielen und daran angeschlossen die Prof. Dr. Heike Markus lehrt konkrete Umsetzung der MaßInformatik an der Hoch- nahmen. Je transparenter die schule Hof. Ihre Lehr- bzw. Fachgebiete sind Digitale Verwaltung und Künstliche Intelligenz. Foto: BS/privat Umsetzung und Kommunikation von Maßnahmen erfolgt, desto höher ist die Wahrscheinlichkeit, dass die Maßnahmen erfolgreich sind. Das Reifegradmodell m² liefert dafür einen ganzheitlichen Ansatz von der Zielfindung über die Definition bis hin zur Umsetzung von Maßnahmen und unterstützt Organisationen dabei, sich selbst mit eigener Kraft zu digitalisieren, und zwar bezogen auf alle für den Erfolg der Digitalisierung relevanten Dimensionen.
Das Reifegradmodell m² steht über den QR-Code als OnlineUmfrage zur Verfügung.
Martin Schallbruch ab Januar bei govdigital
(BS/gg) Rund zwei Jahre nach Gründung bietet die govdigital eG der öffentlichen Verwaltung ein Betriebsmodell an, um digitale Leistungen über föderale Grenzen hinweg auszutauschen. Über ihre 20 Mitglieder erreicht die wachsende Genossenschaft bereits rund 65 Prozent aller deutschen Kommunen. Für die künftige Entwicklung ist es gelungen, Martin Schallbruch ab Januar 2022 als Mitglied des Vorstandes und CEO der Genossenschaft an Bord zu holen.
Der Fachmann und Stratege für öffentliche IT und IT-Sicherheit besitzt mehr als zwei Jahrzehnte Branchenerfahrung, ein breites Netzwerk und tiefes Verständnis föderaler Zusammenarbeit im digitalpolitisch-administrativen Prozess. Als IT-Direktor und CIO im Bundesinnenministerium (BMI) begleitete, steuerte und prägte der Informatiker zahlreiche Digitalvorhaben der deutschen Verwaltung.
Ab 2016 übernahm Schallbruch als stellvertretender und dann als Direktor das interdisziplinäre Digital Society Institute, ein wirtschaftsnahes Forschungsinstitut an der European School of Management and Technology in Berlin. Der 56-Jährige ist zudem Lehrbeauftragter am Karlsruher Institut für Technologie (KIT), forscht zu IT-Recht, Innovations- und Regulierungsthemen und engagiert sich seit Jahren für die digitale Souveränität des Staates. “Martin Schallbruch kann nicht nur auf viel Know-how und sein breites Netzwerk zurückgreifen, sondern bringt zahlreiche Fertigkeiten aus dem Management von Netzwerken und öffentlicher Gremien mit – gemeinsam mit seinen Vorstandskollegen wird er unsere Genossenschaft in eine neue Entwicklungsphase führen”, unterstreicht Dieter Rehfeld, Aufsichtsratsvorsitzender der govdigital. “Ich freue mich auf diese wichtige Aufgabe – die kommunalen und Landes-IT-Dienstleister sind das Rückgrat für digitale Souveränität und digitale Daseinsvorsorge Deutschlands”, so Schallbruch. “Als Intermediär wollen wir mit govdigital alle drei Ebenen unserer öffentlichen Verwaltung durch konkrete Projekte, neue Modelle und den Einsatz innovativer Technologie voranbringen.” Ein Schwerpunkt 2022 wird der weitere Aus- und Aufbau der Genossenschaft sein. Der für den erfolgreichen Aufbau der govdigital verantwortliche bisherige Geschäftsführer Matthias Kammer wird weiter beratend zur Seite stehen.
Martin Schallbruch ist ab 2022 CEO von govdigital. Foto: BS/privat
Ein gewöhnlicher Montagabend. Nutzerinnen und Nutzer aus aller Welt schreiben sich Nachrichten auf WhatsApp, scrollen durch die digitale Bilderwelt auf Instagram oder aktualisieren ihre Timeline auf Facebook. Dann allerdings passiert etwas Ungewöhnliches – und zwar nichts. Aus der WhatsApp-Empfangsbestätigung, den zwei grauen Haken, wird eine Sanduhr. Die App der Influencerinnen und Influencer lädt keine neuen Beiträge und das Social-Media-Netzwerk zeigt in der Browsersuche nur “Die Website ist nicht erreichbar” an. Für knapp sieben Stunden wird das digitale Leben für die meisten Nutzenden entschleunigt – für manche ein gesunder digitaler Detox, für andere ein Abend mit medialen Entzugserscheinungen. Kurz vor Mitternacht mitteleuropäischer Sommerzeit hatte der Spuk dann sein Ende – die Plattformen konnten wieder voll genutzt werden. Doch was war passiert?
Eine genaue Analyse des Shutdowns gab Facebook nicht an. Auf dem Kurznachrichtendienst Twitter teilte das Unternehmen lediglich mit, dass technische Probleme – also keine Cyber-Attacke – für den Ausfall verantwortlich gewesen seien. Es wird vermutet, dass Konfigurationsänderungen an den Backbone-Routern den Ausfall verursacht haben. Backbone-Router sind zuständig für den Netzwerkverkehr zwischen den Rechenzentren von Facebook. Auch eine Domaine-Name-System-(DNS)-Störung, kann als Ursache in Betracht gezogen werden. Dabei würde die Weiterleitung von IP-Adressen auf die Domain (in diesem Fall facebook.com) nicht funktionieren. Grund dafür ist, dass die DNS-Einträge der Facebook-Dienste aus dem System verschwinden und damit für den Nutzer unerreichbar werden.
Im Regierungsnetz eher unwahrscheinlich
Das ähnliche Probleme auch beim Bundesverwaltungsnetz stattfinden könnten, hält ein IT-
Shutdown ohne Angriff
Nicht nur Cyber-Attacken sorgen für IT-Probleme
(BS/Paul Schubert) Anfang Oktober sorgten Konfigurationsänderungen für einen Server-Ausfall bei Facebook Inc. Damit waren die bekannte Social-Media-Plattform sowie Instagram und WhatsApp für eine längere Zeit nicht erreichbar. Können ähnliche Situationen auch bei der Bundes- und Landesverwaltung entstehen? Das Risiko schätzt die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) als eher gering ein. Prüf- und Genehmigungsverfahren sollen dafür sorgen, dass durch Updates bedingte Störungen vermieden werden können. Auch das Landesamt für Sicherheit in der Informationstechnik (LSI) hat Vorbeugemaßnahmen implementiert.
Erst Facebook, WhatsApp, Instagram – und bald bundesregierung.de? Konfigurationsfehler, VPN-Störungen oder HackerAttacken können die externe Kommunikation der Bundes- und Landesverwaltung beeinträchtigen. Diese haben allerdings diverse Schutzmechanismen gegen diese Art von Vorfällen aufgebaut. Foto: BS/Thomas Ulrich, pixabay.com
Experte aus dem Bundesministerium des Innern, für Bau und Heimat (BMI) für ausgeschlossen. Das Regierungsnetz würde mit fest verdrahteten Firewalls arbeiten und zwischen den Firewalls gebe es keine zu konfigurierenden Elemente. Des Weiteren sei das Bundesnetz digital abgekoppelt und besitze eine eigene Leitungsinfrastruktur mit eigenen Rechenzentren. Grundsätzlich seien die Verwaltungsleitungen einfach gestrickt. Dabei seien die Elemente größtenteils voneinander unabhängig und individuell konfigurierbar, verriet der Experte. Auch die BDBOS bekräftigt das starke Sicherheitsniveau der Netze des Bundes. Eine Sprecherin der Bundesanstalt teilte auf Anfrage mit, dass eine Störung von System-Updates dadurch vermieden werde, dass im Vorhinein Prüf- und Genehmigungsverfahren angewandt würden, die die Systemfähigkeit garantierten. Des Weiteren bestätigte die BDBOS die Sicherheit der internen Kommunikation. Sie erfolge lokal und “nicht über öffentliche Infrastrukturen”. Bei DNS-Vorfällen gibt es im Gegensatz dazu immer ein Restrisiko. Zwar sind die Verwaltungsnetze des Bundes RfC- und BSI-konform “grundsätzlich nicht erreichbar”. Aber äußere Bereiche der BDBOS wie www.bdbos. bund.de seien – wenngleich sie nach aktuellem Stand der Technik abgesichert seien – grundsätzlich Dritten zugänglich, erklärte eine Sprecherin. Jedoch würden die Sicherheitskonzepte jederzeit der Empfehlung des BSI und den aktuellen Erkenntnisseen und “Best Practices” aus dem Bereich der IT-Security folgen, erklärte die BDBOS.
Die Lösung ist manchmal physischer Natur
Der Shutdown von Facebook konnte letztendlich nur “von Hand” beendet werden. Durch einen manuellen Reset der Server durch ein mobiles Einsatzteam (CERT), konnte das Problem – zusätzlich mit technischer Hilfe von außen – beseitigt werden. Auch der Bund kann auf mobile Einsatzteams des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Netze des Bundes zugreifen. Die BDBOS selbst hat für den Fall von Cyber-Attacken Notfallmechanismen erarbeitet, die regelmäßig geprobt werden. Darüber hinaus hat die Bundesanstalt ein weiteres Projekt zur Cyber-Abwehr in Arbeit: die Abwehr von digitalen Attacken mittels Künstlicher Intelligenz (KI). Das Projekt solle die “Möglichkeiten zur Nutzung von KI zur weiteren Verbesserung der Erkennung und Abwehr von Netzwerkangriffen untersuchen”, teilte die BDBOS mit. Nicht nur im Bund sind die Netzwerksysteme grundsätzlich abgesichert, auch die Bundesländer haben ihre eigenen Schutzmechanismen entwickelt. Das Landesamt für Sicherheit in der Informationstechnik (LSI) überwacht den Netzwerkverkehr des Bayerischen Behördennetzes (BYBN) zum Internet. Zusammen mit den ITBetriebseinheiten entwickelt die Behörde im Security Operation Center (SOC) Maßnahmen zur Aufrechterhaltung der digitalen Kommunikation. Ähnlich wie das BSI, ist auch das LSI im operativen Einsatz bei SchadsoftwareAttacken vor Ort tätig. Hierbei geht die Initiative vom SOC aus. Das BYBN ist Grundlage für die Abhör- und Spionagesicherheit der internen und externen Kommunikation. Die eingesetzten Verschlüsselungskomponenten für die Cyber-Sicherheit in der Landesverwaltung seien vom BSI zugelassen, betont LSI-Präsident Daniel Kleffel: “Das dazugehörige Schlüsselmaterial wird vom IT-Dienstleistungszentrum des Freistaats selbst erzeugt.” Darüber hinaus sei das Landesamt befugt, Maßnahmen zu erlassen, um Schaden vom Behördennetz abzuwenden: “Im Notfall können auch Netzbereiche als Ultima Ratio abgeschaltet werden. Die Befugnis dafür haben wir, das muss aber vorher klar abgestimmt werden. Natürlich haben wir für solche Fälle eine klare Rechtsgrundlage, in der auch definiert wird, wie Daten- und Netzüberwachung im Allgemeinen zu bewerkstelligen ist”, stellt Kleffel klar. Kooperation mit dem Bund
Mit dem BSI selbst, pflege das Landesamt eine enge Kommunikation vor allem im VerwaltungsCERT-Verbund, merkt Kleffel an: “Hier findet eine informelle und vertraute Zusammenarbeit zwischen den CERTs der Länder und des Bundes statt. Das CERT-Bund fungiert dabei als Primus inter Pares. Es stellt Informationen zur Verfügung und wertet Sicherheitsvorfälle aus.” Schließlich folgert Kleffel, dass in diesem Netzwerk aktuell der effektivste Austausch der beiden Behörden stattfinde. Hilfe vom BSI bei Sicherheitsvorfällen habe das LSI aber noch nicht anfordern müssen, betont der LSI-Präsident. Ähnlich wie im Bundesnetz sind die DNS-Server auch im Bayerischen Behördennetz umfangreich abgesichert. Im staatlichen Rechenzentrum IT-DLZ in Bayern werden eigene interne DNS-Server im BYBN betrieben, die nicht aus dem Internet erreichbar und damit nicht von außen angreifbar sind. Systeme, die im Internet erreicht werden könnten, seien durch die Firewall und die Härtung der Systeme zusätzlich abgesichert, erklärte das LSI. Die Landes- und Bundesnetze sind also – im Rahmen der Qualitätsstandards des BSI – umfangreich geschützt. Die interne Kommunikation wird trotz CyberAngriffen weitestgehend gewährleistet. Neben den Server-Änderungen und -Updates sowie Attacken von außen wird in diesen Szenarien allerdings stets ein Risiko ignoriert: das menschliche Versagen.
Behörden Spiegel: Herr Stettner, in den letzten Monaten haben wir weltweit einige schwerwiegende Angriffe auf Kritische Infrastrukturen gesehen. So auf eine Öl-Pipeline in den USA und auf das Gesundheitswesen in Irland. Wie lautet Ihre Antwort auf diese Bedrohungen?
Stettner: Auch in Hessen hatten wir einige Vorfälle. Mit Geisenheim war eine Kommunalverwaltung betroffen. Dazu kam der Angriff auf einen großen Lebensmittelhändler. Im letzten Jahr gab es einen Vorfall in der Uniklinik Gießen. Wir nehmen alle diese Vorfälle sehr ernst. Sie zeigen, dass es richtig war, unser Hessen3C einzurichten. Die Einheit hat nach zwei Jahren fast 60 Mitarbeiterinnen und Mitarbeiter und wird noch weiter ausgebaut. Wir haben damit ein Instrument an der Hand für die Bereiche Prävention, Detektion und Reaktion.
Behörden Spiegel: Was sind die Aufgaben des Hessen3C?
Stettner: Das Hessen3C ist bundesweit bislang die einzige Einheit, die folgende drei Aspekte vereint: Kompetenzen im Bereich Cyber Crime mit Verbindung zu den Polizeipräsidien, Cyber Intelligence mit Kontakt zum Landesamt für Verfassungsschutz und natürlich Cyber Security mit unserem CERT (Computer Emergency Response Team) und unserem MIRT (Mobile Incident Response Team). Wir legen auch viel Wert auf Prävention. Unsere Leute reisen zu Kommunen, kleinen und mittelständischen Unternehmen, zu Industrie-, Handels- und Handwerkskammern, um dort zu sensibilisieren und zu erklären, wie man im Fall eines Angriffs konkrete Hilfe erhalten kann. Wir bieten eine 24/7-Hotline an und unser MIRT rückt bei Vorfällen regelmäßig aus und berät Betroffene vor Ort. Besonders für die Kommunen wollen wir die Angebote noch ausbauen. Mit dem “Kommunalen Dienstleistungszentrum Cyber-Sicherheit” haben wir bereits ein modulares System zur Unterstützung. Jetzt wollen wir vor allem den Kompetenzaufbau in der Landes-, aber auch besonders in der Kommunalverwaltung stärken.
Behörden Spiegel: IT-Sicherheitsexperten wiederholen immer wieder, dass sich Sicherheitsvorfälle nie ganz vermeiden lassen. Muss sich der Fokus von Prävention auf die Reaktionsfähigkeiten verschieben?
Stettner: Das sind zwei Seiten einer Medaille. Ich sehe da keine Konkurrenz, sondern vielmehr ein Ineinandergreifen der beiden Komponenten. Prävention ist unverzichtbar. Dazu gehören neben der Abwehr auch Sensibilisierung und Ausbildung. Genauso unverzichtbar ist aber, dass wir die Resilienz in den Einheiten deutlich stärken. Das umfasst die Krisenreaktionsfähigkeiten der Mitarbeiter, aber auch der Strukturen und Verfahren.
Managementaufgabe Krise
Resilienz beginnt bei den Mitarbeitenden
(BS) Mit Krisen kennt Ralf Stettner sich aus. Zwischen 2015 und 2018 war er im Regierungspräsidium Gießen für Flüchtlingsangelegenheiten zuständig und damit für die 46 Erstaufnahmeeinrichtungen und 70 Notunterkünfte des Landes Hessen. 2020 hat er die Beschaffung von Masken und Schutzbekleidung für den gesamten öffentlichen Sektor in Hessen geleitet. Letzteres neben seiner eigentlichen Verwendung als Leiter der Abteilung “Cyber- und IT-Sicherheit, Verwaltungsdigitalisierung” im Hessischen Ministerium des Innern und für Sport sowie als CISO der hessischen Landesverwaltung. In dieser Rolle hat er in drei Jahren die Kapazitäten und Kompetenzen in dem Bereich deutlich ausgeweitet und mit dem Hessen Cyber Competence Center (Hessen3C) die derzeit personalstärkste Cyber-Sicherheitseinheit eines Landes mit aufgebaut. Benjamin Stiebel sprach mit Ralf Stettner über IT-Krisenmanagement und die Cyber-Sicherheitsarchitektur von Bund, Ländern und Kommunen.
Behörden Spiegel: Was genau sind das für Fähigkeiten?
Stettner: Wir müssen im Bereich der Managementsysteme für die Informationssicherheit (ISMS), beim IT-Krisenmanagement (ITKM) und auch bei der Aufrechterhaltung der Betriebsfähigkeit, also beim Business Continuity Management (BCM), noch besser werden. Voraussetzung hierfür ist die Schaffung der entsprechenden Rahmenbedingungen wie beispielsweise der Etablierung verbindlicher Prozesse und des Aufbaus eines Risikomanagements. Darüber hinaus müssen wir die entsprechenden Tools anschaffen und Mitarbeiter ausbilden. Eine ganz große Rolle spielen auch regelmäßige, szenariengerechte Übungen. All das wollen wir als Angebot auf die kommunale Ebene ausweiten. Wir müssen zu einem ganz neuen Verständnis einer Reaktionsfähigkeit in der Fläche kommen. Wir sollten gemeinsam die Sensibilität und die Kompetenz dort insgesamt deutlich stärken. Das fängt schon damit an, dass bei großen IT-Vorhaben von Anfang an Geld für IT-Sicherheit eingeplant werden muss. Das heißt auch, dass die öffentliche Verwaltung über Ausbildung und Studiengänge IT-Sicherheitsexperten heranziehen muss. Behörden Spiegel: Welche persönlichen Fähigkeiten sind denn insbesondere bei Führungskräften gefragt?
Stettner: Kurz gesagt braucht es Krisenmanagementkompetenz. Das ist Entscheidungsfähigkeit und Entscheidungsfreude in unklarer Lage. Krisenmanager müssen lernen zu entscheiden, auch wenn sie bei weitem nicht alles wissen. Das ist für viele Verwaltungsmitarbeiter eher ungewohnt. Außerdem müssen Krisenmanager mit Menschen arbeiten und Strukturen führen können. Dazu gehören: Begeisterung aussenden können, priorisieren, delegieren, ständige ebenengerechte Koordinierung. Sie müssen viel kommunizieren, damit am Ende auch die Politik handlungsfähig bleibt. Zudem muss man Rückschläge einstecken und trotzdem die Motivation aufrechterhalten können. Neben all diesen Fähigkeiten müssen Krisenmanager auch noch hohen Belastungen standhalten können. Vieles davon kann man erlernen, ein paar Eigenschaften sollten aber bereits vorhanden sein. Bei uns haben sich auch besonders Führungskräfte mit polizeilicher oder militärischer Vorbildung bewährt. Natürlich muss auch die Landesverwaltung es verstehen, die geeigneten Personen in den Kriseneinheiten einzusetzen und ihnen die Möglichkeit zu geben, diese Kompetenzen auch auszuspielen.
Behörden Spiegel: Angenommen im hessischen Innenministerium käme es zu einem erfolgreichen Ransomware-Angriff und
Ralf Stettner ist als Chief Information Security Officer auch IT-Krisenmanager für die hessische Landesverwaltung. Foto: BS/HZD
erste Systeme wären verschlüsselt. Wie sähe in groben Zügen die Vorfallsbewältigung aus?
Stettner: Zuerst würde die Meldung eines Nutzers am Servicedesk des IT-Betriebs eingehen. Von dort geht es direkt weiter an den 24/7-Dienst von Hessen3C. Zuerst geht es darum, die Lage zu bewerten und erste Maßnahmen zu ergreifen, um idealerweise einer Weiterverbreitung der Schadsoftware entgegenzuwirken. Gleichzeitig wird über das CERT geklärt, wer vom Angriff ggf. noch betroffen ist. Bei einer landesweiten Lage werde ich als CISO informiert und das IT-Krisenmanagement wird einberufen. Dafür ist eine entsprechende besondere Aufbauorganisation vorausgeplant, damit das notwendige Personal auch kurzfristig zur Verfügung steht.
Behörden Spiegel: Was passiert bei Vorfällen, die über das Land Hessen hinausgehen?
Stettner: In einer länderübergreifenden Lage würden wir frühzeitig unsere engen Kontakte zum Bundesamt für Sicherheit in der Informationstechnik (BSI) und zum Verwaltungs-CERTVerbund aktivieren. Für Lagen in Hessen gilt: Wir tauschen uns mit dem BSI aus, bitten aber erst um operative Unterstützung, wenn es notwendig ist. Mit dem Hessen3C sind wir da sehr gut aufgestellt.
Behörden Spiegel: Apropos Zusammenarbeit von Bund und Ländern: Die sollte mit dem ITSicherheitsgesetz 2.0 ursprünglich verbessert werden. Mit der finalen Fassung hat sich in dem Bereich aber wenig getan.
Stettner: Zunächst einmal finden wir es gut, dass dem Thema mit dem IT-Sicherheitsgesetz 2.0 ein deutlich größerer Stellenwert beigemessen wird und wir halten es für richtig, dass das BSI in seinen Kapazitäten weiter gestärkt wird. Wir hätten uns jedoch eine frühere Einbeziehung in die Abstimmungen zum Gesetzentwurf gewünscht. Wir hatten als Land Hessen, aber auch im Nationalen Cyber-Sicherheitsrat und als Leiter der Länder-Arbeitsgruppe Cyber-Sicherheit gegenüber dem Bundesinnenministerium angemahnt, dass im Bereich der Mitteilungs- und Informationsaktivitäten der Bundesregierung die Länder stärker berücksichtigt werden sollten. Das betrifft neben den Meldepflichten im KRITIS-Bereich auch die Definition der Unternehmen im besonderen öffentlichen Interesse. Zudem sehen wir besonders im Sub-KRITISBereich noch Handlungsbedarf. Es geht darum, ein funktionierendes Miteinander zu entwickeln. Wir müssen Kapazitäten in Bund, Ländern und Kommunen komplementär ausbauen. Dabei sollten wir ebenengerecht schauen, wer was am besten kann, um Strukturen und Kompetenzen zu schaffen, die sich ergänzen und nicht im Weg stehen. Wenn bei einem Sicherheitsvorfall ein MIRT des Landes vorfährt und fünf Minuten später ein MIRT des Bundes, wäre das nicht zielführend.
Behörden Spiegel: Wie gestaltet sich das Zusammenspiel in Richtung Kommunen? Eingangs hatten Sie das Beratungs- und Unterstützungsangebot genannt. Machen Sie den Kommunen auch Vorgaben zu ihrem IT-Sicherheitsmanagement?
Stettner: Zunächst einmal muss man deutlich differenzieren. Es gibt große Kommunen wie die Städte Darmstadt, Frankfurt oder Kassel und es gibt ganz viele kleine Gemeinden in allen Flächenländern. Das technische und das personelle Potenzial unterscheiden sich also natürlich. Einige Kommunen haben außerdem in ihrer Trägerschaft Energieversorger oder andere KRITIS- und Sub-KRITIS-Strukturen. Damit sind wieder ganz andere Risiken verbunden. Wir unterstützen mit Beratung, mit Ausbildung, mit Vor-Ort-Schulung und vielem mehr. Ohne die örtlichen Begebenheiten zu kennen, ist es aber schwer, zentral vorzugeben, was zu machen ist. Mit pauschalen Anforderungen kommt man da nicht weiter. Wir wollen aber klar die Empfehlung aussprechen, dass die Budgets für IT-Sicherheit im Land und in den Kommunen erhöht werden. Ich kann mir durchaus vorstellen, auch konkrete Prozentsätze zu formulieren. Bei der IT-Sicherheit zu sparen, ist jedenfalls keine gute Idee. Sie ist eine tragende Säule für eine erfolgreiche Digitalisierung. Grundsätzlich müssen bestimmte Standards kommuniziert und eine entsprechende Beratung angeboten werden. Da sehe ich beim Land Hessen aufgrund seiner hohen Kompetenz, die wir mittlerweile erarbeitet haben, noch weitere Möglichkeiten, den Kommunen zu helfen. Letztendlich interessiert es den Bürger schließlich nicht, ob das BSI, das Hessen3C oder ein örtliches CERT die Verantwortung übernimmt. Der Bürger erwartet vom Staat Versorgungssicherheit und Krisenmanagementkompetenz, und das ist ein gemeinsamer Auftrag von Bund, Ländern und Kommunen.
Verleumdung und Desinformation
Wie anfällig sind unsere Wahlen für Cyber-Risiken?
(BS/Andreas Groß*) In den letzten Jahren hat sich die Angriffsfläche für cyber-kriminelle Aktivitäten, die im Zusammenhang mit Wahlen stehen, vergrößert. Rufe nach sogenannten Wahlcomputern, wie sie in den USA üblich sind, werden nach dem Wahlchaos in Berlin lauter. Aktuell wird in Deutschland auf ein hybrides Modell gesetzt: Die Kreuze werden analog auf Papier gemacht; Erfassung und Übersendung von Ergebnissen erfolgen digital. McAfee Enterprise zeigt mögliche Cyber-Sicherheitsrisiken auf.
Laut Spiegel-Bericht versuchten Angreifer Anfang dieses Jahres, die privaten E-Mail-Konten von Abgeordneten zu kapern. Mithilfe von Phishing-Mails lockten sie Politikerinnen und Politiker auf gefälschte Webseiten, wo sie ihre Log-in-Daten angeben sollten, um so Angreifern Zugriff auf Mail- oder Social-Media-Accounts zu verschaffen. Ziel dabei war es, diffamierendes und belastendes Material zu finden und letztendlich die Abgeordneten zu erpressen. Dabei spielt die Verbreitung von Desinformation eine Rolle: Oftmals basieren Desinformationen auf Leaks in Form gestohlener Dokumente und sind garniert mit falschen Inhalten, die ein bestimmtes Narrativ erzeugen sollen. Am Wahltag: Datensicherheit im Fokus
Auch wenn der eigentliche Wahlvorgang in Deutschland händisch stattfindet – die Prozesse rund um Auswertung und Übermittlung der Ergebnisse sind zunehmend digital. So leiten Wahllokale abgegebene Stimmen digital an die Landes- und Bundeswahlleiter weiter. Die Daten sind dabei hochsensibel: Neben Ergebnissen geben kommunale Wählerverzeichnisse Namen und Adressen bekannt.
Sichere Wahlen durch verantwortungsvollen Umgang
Der Erfolg von Cyber-Sicherheitsmaßnahmen hängt auch von der Eigenverantwortung und Besonnenheit der Nutzer ab. Kandidierende und Behörden sind dazu angehalten, sich um die Absicherung ihrer Accounts zu bemühen. Dies umfasst etwa den Einsatz von Multi-Faktor-Authentifizierungen und die Verwendung unterschiedlicher, starker Passwörter. Zusätzlich helfen Schulungen, potenzielle Phishing-Attacken frühzeitig zu erkennen. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind davon abhängig, dass Betroffene sicherheitsrelevante Vorfälle melden und so den Austausch zwischen Ländern und Bund fördern. Nur so ist es möglich, das Cyber-Sicherheitsniveau zu stärken und Wahlen abzusichern. *Andreas Groß ist Senior Manager Presales bei McAfee.