Gastkommentar: Verpatzte öffentliche IT-Projekte

Wissen ist Macht, nichts wissen macht nichts - das könnte das Motto manches öffentlichen IT-Projekts sein, von der elektronischen Patientenakte bis hin zur flügellahmen Elster der Finanzverwaltung. Zwar hat das Vordringen von Open Source in den öffentlichen Bereich fraglos Positives bewirkt, doch dass quelloffene Software nicht nur Freunde hat, liegt auch auf der Hand: Wer Planungsfehler oder Kompetenzdefizite kaschieren muss, wird Transparenzgewinn durch Open Source hassen wie der Leibhaftige das Weihwasser.

Wachsende Open-Source-Durchdringung im öffentlichen Bereich gibt es seit Jahren zu melden. Nicht nur die Städte Schwäbisch Hall und München haben Linux auf ihre Fahnen geschrieben, auch das Bundesamt für Finanzen betreibt seit mehr als fünf Jahren in erheblichem Umfang OSS-basierte Verfahren. Doch wer daraus schließt, der öffentliche Dienst habe nun ein Einsehen und schwenke zu Open Source, täuscht sich gewaltig. Ebenso wie in Großunternehmen gibt es auch hier Inseln, Fürstentümer und Königreiche, deren Souveränität von ihren Potentaten mit Klauen und Zähnen verteidigt wird - nicht selten gegen jede sachliche Vernunft.

Kein Allheilmittel

Um Missverständnissen vorzubeugen: Open Source per se hindert niemanden daran, Konzeptions- oder Programmierfehler zu begehen, und ist auch kein Mittel, alle Probleme dieser Welt mit einem Streich zu lösen. Die Offenlegung des Quellcode und die dann möglichen Review-Verfahren können aber helfen Schieflagen früh zu erkennen und ihnen entgegenzusteuern, und zwar bevor das ganze Projekt an die Wand gefahren wird. Doch diese Offenheit ist gnadenlos und jeder, der etwas kaschieren will, wird sie sich kaum wünschen.

Auf dem CCC-Kongress Ende Dezember 2004 kam ein Fall ans Tageslicht, der ernsthaft die Frage aufwirft, welchen Beitrag der Einsatz von Open Source sowie frühzeitige Review-Verfahren hätten leisten können, um schwere Konzeptionsfehler schon im Frühstadium zu erkennen.

In einem Vortrag hatte der Sicherheitsexperte Thomas Maus[1] über die gravierenden Sicherheitsmängel bei der so genannten elektronischen Patientenakte (Padok, D2D,[2]) berichtet, derentwegen seit einiger Zeit auch bereits ein Rechtsstreit anhängig ist.

Abbildung 1: E-Health als neues Schlagwort - ab 19. April findet in München ein Kongress zur Gesundheitskarte statt.

Vertrauensvorschuss verspielt

Wer die Details liest, reibt sich verwundert die Augen und fragt sich schließlich, was für Bastler denn dort am Werke waren. Selbst wenn die Software inzwischen nachgebessert wurde, ist die Angelegenheit damit noch keineswegs vom Tisch. Zum einen lief der untersuchte Softwarestand mit echten Patientendaten, die sich, einmal freigesetzt, nicht wieder einfangen lassen, und deren Kompromittierung immensen Schaden anrichten kann. Zum anderen sind die Mängel laut Maus so gravierend, dass er das gesamte Verfahren als nicht reparierbar einstuft.

Ein Blick in den Vortragstext[1] zeigt, dass es bei der Verfahrenskonzeption der elektronischen Patientenakte augenscheinlich bereits von Anfang an am kleinen Einmaleins in puncto Sicherheitskompetenz mangelte.

Der Vertrauensvorschuss auf Patientenseite ist auf jeden Fall verspielt und man fragt sich, weshalb ausgerechnet jene vertrauenswürdig sein sollten, die schon im ersten Anlauf keine Hemmungen zeigten, mit fremden Daten besonders leichtfertig umzugehen. Von Einsicht bis heute keine Spur: Laut "Spiegel" vom 14. Februar wies Mitentwickler Bertram Bresser die Vorwürfe zurück, denn seit dem "Schlechtachten" des Herrn Maus sei die Sicherheit "entscheidend verbessert" worden.

Schwer vorstellbar, dass die Ereignisse beim Einsatz von OSS-Entwicklungsverfahren den gleichen Lauf genommen hätten. Zu klären wäre auch, weshalb das federführend beteiligte und auch mit öffentlichen Mitteln alimentierte Fraunhofer-Institut ausgerechnet zu proprietären, nicht offenen Verfahren griff. Es drängt sich der Verdacht auf, dass Intransparenz womöglich ganz bewusst eingesetzt wurde.