© Guesswho / 123RF.com

Fünf Jahre nachdem die legendäre PwC-Studie die totale Abhängigkeit der bundesdeutschen Verwaltung von Microsoft bescheinigte, hat sich wenig an der Situation geändert. Doch immerhin gibt es seit Ende 2022 das Zentrum für Digitale Souveränität in Bochum. Wir haben Andreas Reckert-Lodde und seine Mitarbeiter und Mitarbeiterinnen besucht.

Bochum: “Tief im Westen, wo die Sonne verstaubt” [1], im geografischen Zentrum des vom Strukturwandel gebeutelten Ruhrgebiets wohnen und arbeiten über 360 000 Menschen zwischen Zechen und Industriedenkmälern aus einem vergangenen, fossilen Zeitalter. Industriegeschichte überall: In der Stadt, in der im 19. Jahrhundert der Bochumer Verein [2], ein früher Montankonzern, erstmals Stahl gegossen hatte, befindet sich heute die Universität mit 40 000 Studenten, eine der größten Deutschlands.

Die Kohle- und Stahlzeiten sind vorbei, die Zechen geschlossen und in Touristik-, Kultur- oder Businesszentren umgewandelt. Auch von den gigantischen Opel-Werken mit über 20 000 Arbeitsplätzen ist nicht mehr viel übrig, von den Kohlebergwerken unter Tage finden sich nur noch Schächte und gelegentliche Risse im Mauerwerk.

Die Stadtplaner haben auch in Bochum das weitläufige Gelände mit einem Businesspark bestückt, aus dem lediglich das riesige Paketzentum der DHL ein wenig heraussticht und noch etwas “industriell” wirkt. Der Opel-Rückbau begann in den 80er Jahren und endete mit den letzten Astras und Zafiras, die 2014 vom Band rollten, die letzten Mitarbeiter schlossen die Tore 2015. Dann bekam die “Bochum Perspektive” die Nutzungsrechte und erhielt das Verwaltungsgebäude “O-Werk” (Abbildung 1) als Baudenkmal. Darin ist heute neben der Akademie der Ruhr-Universität (RUB) und drei Stockwerken Babymarkt ebenfalls das ZenDiS (Abbildung 2) untergebracht. Das Zentrum für Digitale Souveränität in der öffentlichen Verwaltung [3] ist ein zentraler Baustein der “Digitalstrategie Deutschland” [4] (Abbildung 3).

Abbildung 1: Das ehemalige Verwaltungsgebäude des Bochumer Opel-Werks ist heute Baudenkmal.

Abbildung 2: Im dritten Stock rechts, unscheinbar, als Untermieter des Babymarkts, ist das überraschend weitläufige Büro des ZenDiS untergebracht.

Abbildung 3: Geräumig und modern, aber noch etwas leer kommt das Stockwerk des ZenDiS daher.

Alles eine Frage der Strategie

Dass Deutschland eine Digitalstrategie benötigt, kommt, nun ja, nicht sonderlich überraschend. Unter den schicken Strukturen der Marktführer lauern gerade in der IT Gefahren, gegen die die Bergschäden im Ruhrgebiet klein wirken. Bis 2019 ging das gut, doch dann löste eine Studie von Price Waterhouse Cooper (PwC) hektische Betriebsamkeit aus. Das Beratungsunternehmen war zu dem Schluss gekommen, “dass die Bundesverwaltung in hohem Maße von dem Softwareanbieter Microsoft abhängig ist.” Das, so PwC, könne “kritische Folgen haben, die angesichts der Marktentwicklung noch weiter zunehmen dürften.” [5] Was den damals zuständigen Minister Seehofer erzürnte, erfreute Open-Source-Evangelisten: Endlich wurde angesprochen, was eigentlich jedem klar sein musste, offen wurden die Probleme thematisiert und vor allem angegangen, so die Hoffnung.

Fünf Jahre später ist die Aufmerksamkeit für derartige Abhängigkeiten weiter gewachsen, “digitale Souveränität” fast schon ein langweiliges Mainstreamlemma geworden. Der Begriff “Open Source” dient zunehmend Firmen als irreführender Slogan, mit dem sich zu schmücken eine Mode geworden ist. Selbst ansonsten keineswegs offene Firmen und Anstalten kommen nicht mehr daran vorbei. Das liegt auch an den vielen Nachrichten über Trump, Putin und China: Die Ängste wachsen. Die neue geopolitische Realität erfordert neue Lösungsstrategien. Doch die wirken bisweilen noch wie Strohhalme, an die man sich klammert. Kritiker bemängeln Notlösungen wie die Serie der Privacy-Shield-Abkommen der EU mit den USA: Sie seien doch nur Feigenblätter, die darauf warten, vom nächsten Gerichtsurteil weggewischt zu werden. Der Name des Österreichischen Datenschutzaktivisten Max Schrems geriet zum Pars-pro-Toto für den Kampf gegen US-Datenkraken und -Firmen, ein Zitat vom CCC-Sprecher Linus Neumann zum Dauerbrenner: “Für jedes technische Problem gibt es eine politische Lösung.”

Neue Regeln auf der Weltbühne?

Historisch liegen die Gründe für die Abhängigkeiten offen: Stets konnte sich Europa und somit auch Deutschland darauf verlassen, dass die mächtigen Partner sich anständig verhielten, unseren Rechtekanon achten und europäische Normen befolgten – zumindest innerhalb eines akzeptablen Rahmens. Spätestens seit der Radikalisierung innerhalb der USA, in der Folge des missglückten Umsturzversuch am 6. Januar 2021 in Washington und dem mittlerweile zehn Jahre andauernden russischen Angriffskriegs auf die Ukraine, sehen mehr und mehr Europäer solche Abhängigkeiten kritisch.

Besonders deutlich wird das, wenn Vertreter der Allianz Russland-China-Iran offen in einer ARTE-Dokumentation [6] von einer “pluralistischen und multipolaren” Welt sprechen, wo unterschiedliche Interpretationen der Menschenrechte “koexistieren” könnten. Für Unternehmen hierzulande bedeutet das nicht weniger als: “Wir müssen nicht nach euren Regeln spielen, lieber europäischer Markt”. Menschenrechte stehen da im Weg, erst recht, wenn die Implementierung des europäischen Supply-Chain-Gesetzes oder eines Cyber Resilience Acts bares Geld kosten würde. Eine umso wichtigere Rolle spielen europäische, unabhängige Lösungen, auch in Software und IT.

Die Abhängigkeiten loswerden

Doch sich aus der Abhängigkeit von Rohstoffen, Hard- und Software zu befreien erweist sich mehr und mehr als Sisyphusaufgabe. Zwar lassen sich Öl, Kohle und Gas schnell ersetzen, aber für Hard- und Software braucht es einen langen Atem, viel Geld und Jahre, wenn nicht Jahrzehnte an Arbeit, Forschung und dauerhaftes politisches Commitment. So lange können deutsche Politiker in der Regel weder warten noch planen, lauern doch um die Ecke schon die nächsten Wahlen. Bundeskanzler Scholz will die von SAP betriebene, auf Microsoft Azure aufbauende Delos-Cloud in deutschen Verwaltungen durchsetzen [7]. Gerüchten zufolge wollen Bundesländer wie Bayern am liebsten Microsoft überall: Teams, Cockpit, Office 365 sollen flächendeckend eingesetzt werden, heißt es angeblich aus dem bayerischen Landtag. Lobbyisten kämpfen offen auf LinkedIn und X für die “beste aller Lösungen”, und “man müsse den Menschen geben was sie wollen”.

Gleichwohl kann der Staat seine Fürsorgepflicht, den Datenschutz und die vielen Compliance-Vorgaben nicht unter den Tisch fallen lassen – als logische Konsequenz fördert man ebenso Open Source und deutsch-europäische Eigenentwicklungen. Allerdings unterscheiden sich die Summen, die alljährlich für Lizenzen in die USA fließen, und der finanziellen Ausstattung etwa des ZenDiS erheblich: Da stehen jedes Jahr Milliarden (Microsoft, Adobe, VMware) wenigen Millionen gegenüber. Letztere fielen obendrein jüngst den Sparzwängen der Regierungskoalition zum Opfer, von geplanten 50 Millionen fürs ZenDiS blieb nur knapp die Hälfte übrig [8].

Bis 2024 hat das noch junge ZenDiS dementsprechend viel Zeit in Planung, Strukturierung und Aufbau eines Teams investiert, das sich zunächst vor allem um die öffentliche Code-Plattform Open CoDE [9] und den digital souveränen Verwaltungsdesktop aka “Souveräner Arbeitsplatz” [10] openDesk [11] kümmern darf [12]. Letzteren hat man quasi vom glücklosen Dataport-Projekt “Phoenix Suite” übernommen, als nach vielen Jahren festgestellt wurde, dass der Hersteller (eine milliardenschwere, aus sieben Bundesländern steuerfinanzierte AöR) trotz anders lautendem Auftrag keinerlei Ambitionen zeigte, das Millionen teure Projekt der Allgemeinheit als Open Source zur Verfügung zu stellen. Heute findet sich auf der Phoenix-Webseite gar kein Verweis (mehr) auf Eigenentwicklungen oder Open Source, das überlässt man dem Upstream der Partner [13].

Lernen aus verbrannter Erde

Verantwortlich dafür, dass so ein Fehlschlag nicht erneut passiert, ist jetzt ZenDiS-Interimsgeschäftsführer Andreas Reckert-Lodde. Der Diplom-Elektrotechniker ist seit 2008 in der Verwaltungsdigitalisierung unterwegs, jetzt als De-Facto-Chef der Open-CoDE-Plattform, von openDesk und dem ZenDiS-Team. Ersteres ist laut ZenDiS schon heute ein Erfolgsmodell, zahlreiche Open-Source-Firmen wollen in das Verwaltungs-Repo, viele sind schon drin, manche Projekte mit mehr, manche mit weniger Software.

Hinein darf allerdings nur, wer einen Use Case in und für die Verwaltung nachweisen kann – so heißt es klar in der FAQ: Neue Softwareprojekte können in dem auf Gitlab aufbauenden Portal ausschließlich von öffentlichen Einrichtungen beziehungsweise mit deren ausdrücklicher Einwilligung angelegt werden. Obgleich das Repo für alle zugänglich ist, braucht jeder, der mit einem eigenen Projekt mitwirken will, einen Kunden oder Fürsprecher in der öffentlichen Verwaltung. Ein beschreibendes YaML-File ist Pflicht, das Template dafür gibt es in Open CoDE.

Projekte, die in Open CoDE liegen und vollständig einer der in den FAQs genannten Open-Source-Lizenzen (GPL 2 und 3, AGPL 3, MPL 2, EPL 2, LGPL 2 und 3, MIT, Apache-2.0 oder BSD-2) unterliegen, können dann auch Ihren Weg in openDesk finden. Bisher steckt in dem Webdesktop jede Menge “Bestandssoftware”, landläufig “Legacy” genannt, die das ZenDiS vom Vorgänger Dataport geerbt hat.

Abbildung 4: Open-Xchange in OpenDesk. Die leistungsfähige Groupware ist in OpenDesk enthalten, allerdings nicht vollständig als Open Source veröffentlicht.

So ist Open-Xchange (Abbildung 4), die Groupware als Ersatz für Microsoft Exchange, zum Beispiel nicht vollständig Open Source, die Videosoftware Jitsi skaliert bekanntermaßen schlecht, Xwiki ist kaum mit den anderen Komponenten integriert und Univention als ID-Provider im Backend kaum zu ersetzen. Dass Letztere so eine strategisch wichtige Rolle spielen, ist der Geschichte der Phoenix-Suite und der langjährigen engen Zusammenarbeit zwischen Dataport und Univention geschuldet, zeigt jedoch ebenso, dass zu digitaler Souveränität schlicht mehr gehört als der bloße Zugriff auf Quelltexte. Firmen wie Red Hat beweisen seit vielen, vielen Jahren, beispielsweise im Streit um die Cent-OS-Quelltexte, wie man einen verbindlichen Vendor-Lock-in auch mit freien Lizenzen, etwa durch geschickte Support-Verträge und sanfte Drohungen erreichen kann. Beim ZenDiS bemängeln nicht berücksichtige Anbieter, hier seien in der Phoenix-Vergangenheit einzelne Anbieter intransparent ausgewählt und mithilfe von Steuergeldern gefördert worden.

Strategische Auswege gesucht

Mit all den Problemen zu jonglieren, niemand zu vergrätzen und mit begrenzten Ressourcen neue Mitstreiter zu gewinnen, gehört ebenfalls zu Reckert-Loddes Aufgabenbereich. Doch die Probleme scheinen lösbar und nur eine Frage der Zeit. Die mangelhafte Integrationstiefe etwa von Xwiki könnte andere Anbieter dazu bringen, sich sehr schnell in openDesk einzubringen – für ein konkurrenzfähige Alternative wäre obendrein nicht viel Arbeit zu leisten.

Videosysteme ließen sich vermutlich am besten über eine Art Meta-Framework einbetten, das mehrere Konzepte und Produkte unterstützt, andere Groupware- und Chat-Systeme sind ebenso denkbar und böten bessere Outlook/Android/iPhone-Anbindung bei voller Open-Source-Architektur. Vorbildlich dagegen ist die tiefe Integration der Komponenten OpenProject und Nextcloud (Abbildung 5). Dass Letztere teilweise aus anderen Projekten stammt und openDesk sie dank der einzigartigen Synergien, die Open-Source-Aufträge mitbringen, nur “geerbt” hat, zeugt dabei von der Stärke des Ansatzes: Wer Open Source richtig macht, muss das Rad nicht immer wieder neu erfinden [14].

Abbildung 6: Open Source auf der ganz großen Bühne angekommen: ZenDiS-Chef Reckert-Lodde bei den Vereinten Nationen. Quelle: ZenDis, LinkedIn

Der Name der Konferenz ist Programm: Ein Open Source Program Office (OSPO) ist ein Büro, eine Organisationseinheit, das Firmen, Konzerne oder Administrationen nutzen, um die Open-Source-Welt innerhalb der Firma selbst fest zu verankern und den Kontakt zur Community und deren Ökosystemen zu pflegen [19]. Dass die UN das Thema ernst nimmt, zeigt zudem, wie sehr das Themenfeld “Inner Source” [20] zunehmend an Bedeutung gewinnt.

Fazit: viel Work in Progress

Das ZenDiS, so scheint es, hat innerhalb weniger Monate mehr messbaren Open-Source-Output geleistet als die Vorgänger über zehn Jahre hinweg. Man hat einen Softwarestack übernommen, der in Sachen Aktualität, Funktionsumfang und Open Source möglicherweise nicht auf dem aktuellsten Stand ist oder war und nicht nach transparenten, nachvollziehbaren Gesichtspunkten zusammengestellt wurde. Allerdings lassen die Finanzmittel, die dem Zentrum zur Verfügung stehen, es unwahrscheinlich wirken, dass sich das ZenDiS mittelfristig als wichtiger Player etablieren kann – dafür bräuchte es mehr Geld und ein echtes, nachhaltiges Commitment, auch jenseits von Koalitionsverträgen.

Der Plan, kein Marktteilnehmer zu werden, überrascht daher kaum, er ist vielleicht ohnehin eher den Umständen geschuldet. Ob jedoch damit Projekte wie openDesk erfolgreich sein können, wird somit zur strategischen Gretchenfrage: Wie soll das zusammen gehen, dass die Politik zwar Open Source zum Standard erhebt, gleichzeitig aber Bundeskanzler und Landesregierungen sich offen für rechtlich fragwürdige, proprietäre Projekte wie die Delos-Cloud einsetzen, und auf der anderen Seite Institutionen, die freie Softwareprojekte organisieren sollen, die Mittel kürzen? Kritiker warnen dementsprechend, das ZenDiS sei bloß ein Feigenblatt, mit dem sich eine ansonsten nackte Politik vor allzu genauen Blicken schütze. Das wäre schade, denn die guten Ansätze sind da. (csi)