Proprietäre Software und Open-Source-Lösungen in ähnlichem Maße gefährdet
⟩⟩⟩ von Paul Schubert, Behörden Spiegel
Der wichtigste Aspekt einer digitalen Souveränität besteht darin, sich aus Abhängigkeiten zu befreien und immer alternative Angebotsmöglichkeiten in der Hinterhand zu haben – das gilt auch für die Anbieter von Cloud-Services. Um die Marktalternativen zu prüfen, eignet sich ein Proof of Concept. Damit kann auch Transparenz über bestehende Open-Source-Lösungen hergestellt werden.
Dr. Bruno Quint, Director Cloud Encryption von Rohde & Schwarz Cybersecurity weist in diesem Kontext darauf hin, dass “alle großen Cloud-Anbieter nicht wirklich sicher sind”. Ferner erklärt er, dass sämtliche Daten, welche in eine Cloud überführt werden “mehr oder weniger kompromittiert sind”. Des Weiteren bestärkt der IT-Sicherheitsberater die Bemühungen, Microsoft Teams für Bildungseinrichtungen und Verwaltungen weiter verfügbar respektive überhaupt möglich zu machen.
Ansgar Kückes, Chief Architect Public Sector bei Red Hat wirbt in diesem Kontext nicht nur für die üblichen Lösungen von proprietärer Software, sondern drängt auch auf Open-Source-Anwendungen: “Für Open Source braucht man – anders als oft behauptet – keine speziellen Skills. Das gilt nur für Änderungen am Code selbst. Für die restliche Handhabung der Programme sind keine besonderen Techniken nötig. Das ist an manchen Stellen sogar einfacher als Windows zu bedienen. Ich persönlich finde Open Source nicht chaotisch, sondern sehr geregelt.” Darüber hinaus sei für den IT-Experten Open Source ein wichtiger Treiber der digitalen Souveränität: “Ich fühle mich einfach wohler, wenn ich gute proprietäre Software und auch Open-Source-Optionen nutzen zu kann”, so Kückes.
Es fehlt an Know-how und Geld
Diese Angebotsdichte hätten auch einige Kommunen gerne. Allerdings weist Alexander Handschuh, Sprecher des deutschen Städte- und Gemeindebunds, darauf hin, dass den Städten und Kommunen das Geld, Know-how und Unterstützung durch Bund und Länder fehlt. “Wir müssen die Kultur des Voneinander-Lernens mehr einbringen. Damit meine ich nicht nur die Kommunen von Bund und Ländern, sondern auch untereinander.”
Heino Reinartz, IT-Sicherheitsbeauftragter der StädteRegion Aachen pflichtet Handschuh bei: “Im Allgemeinen haben wir gute Erfahrung mit nationalen Verbindungs- und Austauschebenen bei digitalen Themen gemacht. Ich würde mir hier auch eine kommunale Verbindungsebene wünschen.” Vor allem IT-Sicherheitsvorfällen, die sich für die Kommunen oft als eklatant teuer und langwierig herausstellen, könnte damit vorgebeugt werden. Weitere Problemfelder der Kommunen blieben die Kompetenz der Mitarbeitenden und die Stellung der IT in der Verwaltung: “Obwohl mittlerweile viele Kommunen einen Informationssicherheitsbeauftragten beschäftigen, muss die Wertschätzung der IT weiter gesteigert werden. Gelingen kann das auch nur in Kombination mit einer Steigerung der IT-Kompetenz von allen Mitarbeitenden in der Verwaltung”, sagt der IT-Sicherheitsbeauftragte auf einer Diskussionsrunde des Kongresses Digitaler Staat. Besonders in der IT-Sicherheit drängt sich des Öfteren ein Vergleich mit den Corona-Maßnahmen auf. Die Rede ist vom Präventionsparadoxon. Während in der Pandemie retrospektiv bestimmte Maßnahmen und deren Notwendigkeit hinterfragt werden, gilt das für auch für die IT-Sicherheit: “Die Menschen sind sich oft nicht bewusst, wie wichtig gute Präventionsarbeit im Digitalen ist”, so Reinartz. Das kann dann dazu führen, dass die Notwendigkeit von Personal und Budget hinterfragt wird, weil die vorbeugende Wirkung der Cyber-Sicherheit schwer zu messen ist, urteilt der IT-Sicherheitsbeauftragte.