{"id":296668,"date":"2024-06-27T08:16:02","date_gmt":"2024-06-27T06:16:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296668"},"modified":"2024-06-28T09:10:40","modified_gmt":"2024-06-28T07:10:40","slug":"it-planungsrat-delos-cloud-vertrge-sollen-heute-geschlossen-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/27\/it-planungsrat-delos-cloud-vertrge-sollen-heute-geschlossen-werden\/","title":{"rendered":"IT-Planungsrat: Sondersitzung soll Weg für Delos-Cloud-Verträge frei machen"},"content":{"rendered":"

In einer Sondersitzung des IT-Planungsrats zum heutigen 27. Juni 2024, geht es darum, einen Beschluss zu fassen, um Vertr\u00e4ge zur Nutzung der Delos-Cloud f\u00fcr die Verwaltung abzuschlie\u00dfen. Das Bundeskanzleramt \u00fcbt derzeit wohl massiven Druck auf die L\u00e4nder in diese Richtung aus. Delos ist eine in Deutschland betriebenen Variante der Microsoft Azure Cloud. Die Open Source Business Alliance kritisiert diesen \u00fcbereilten Beschluss und zeigt die Probleme mit diesem Ansatz auf.<\/p>\n

<\/p>\n

Sondersitzung des IT-Planungsrates<\/h2>\n

Am heutigen 27. Juni 2024 tagt der IT-Planungsrat<\/a>, ein politisches Steuerungsgremium von Bund und L\u00e4ndern in Deutschland, welches die Zusammenarbeit im Bereich der Informationstechnik koordiniert. Es geht um einen Beschluss, um unverz\u00fcglich Cloud-Vertr\u00e4ge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, abzuschlie\u00dfen. Laut Open Source Business Alliance ist zu vernehmen, dass das Bundeskanzleramt derzeit massiven Druck auf die L\u00e4nder aus\u00fcbt, damit diese unverz\u00fcglich Cloud-Vertr\u00e4ge mit Delos abschlie\u00dfen. Delos ist eine in Deutschland betriebenen Variante der Microsoft Azure Cloud.<\/p>\n

Position der Open Source Business Alliance<\/h2>\n

Die Open Source Business Alliance (OSBA) hegt weiterhin starke datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Bedenken gegen den Einsatz der Delos-Cloud. Aktuell arbeitet die F\u00f6derale IT-Kooperation (FITKO) zwar an einem Umsetzungsprojekt f\u00fcr die Deutsche Verwaltungscloud.<\/p>\n

Es wird aber vermutet, dass in der Sondersitzung des IT-Planungsrats offenbar\u00a0 schnell Fakten geschaffen werden sollen, nach denen es dann kein Zur\u00fcck mehr gibt. Das ist aus Sicht der OSBA hoch problematisch und steht im krassen Gegensatz zu dem, wof\u00fcr die Bundesregierung mal angetreten ist.<\/p>\n

Datenschutzrechtliche Bedenken<\/h3>\n

Seit Jahren bestehen datenschutzrechtliche Bedenken gegen die Nutzung von Microsoft Cloud-Services durch die \u00f6ffentliche Verwaltung. Denn das US-amerikanische Recht kann US-amerikanische Unternehmen zur Herausgabe von pers\u00f6nlichen Daten zwingen. Daran \u00e4ndert bisher weder das \"EU-US Data Privacy Framework\" etwas \u2013 auch als \"Angemessenheitsbeschluss\" bekannt – noch der Versuch, \u00fcber die Gr\u00fcndung von deutschen Tochterunternehmen wie Delos die Bedenken zu zerstreuen.<\/p>\n

Denn Delos verwendet letztlich Microsoft-Software. Die eingesetzte Software und die Schnittstellen sind weder offen noch unabh\u00e4ngig \u00fcberpr\u00fcfbar. Daher bleibt immer die Gefahr bestehen, dass z.B. \u00fcber Wartungsschnittstellen, Telemetrie-Datenerfassung o.\u00e4. pers\u00f6nliche Daten abflie\u00dfen k\u00f6nnten oder Zugriff\u00a0 auf diese Daten von au\u00dfen m\u00f6glich ist \u2013 ohne dass die Verwaltung davon etwas mitbekommt.<\/p>\n

Diese datenschutzrechtlichen Bedenken spiegeln sich unter anderem in dem Beschluss der Datenschutzkonferenz der L\u00e4nder wieder, demzufolge Microsoft bisher keinen Nachweis dar\u00fcber erbringen konnte, dass Microsoft 365 datenschutzrechtskonform betrieben werden kann. Auch eine Untersuchung der wissenschaftlichen Dienste des Bundestages hat im Januar 2024 diese datenschutzrechtlichen Probleme noch einmal dargelegt.<\/p>\n

Der EU-Datenschutzbeauftragte hat im M\u00e4rz 2024 sein Urteil verk\u00fcndet, dass die EU-Kommission Microsoft 365 rechtswidrig genutzt und die Daten der EU-B\u00fcrgerinnen und -B\u00fcrger nicht ausreichend gesch\u00fctzt hat. Er hat der EU-Kommission auferlegt, alle Datentransfers bis Dezember 2024 auszusetzen.<\/p>\n

Die \u00f6ffentliche Verwaltung ist gezwungen, sich auf die Versprechen von Microsoft zu verlassen, was Datenschutz und IT-Sicherheit angeht. Aber der Quellcode kann nicht unabh\u00e4ngig \u00fcberpr\u00fcft werden um sicherzustellen, dass keine Hintert\u00fcren oder Zugriffsm\u00f6glichkeiten bestehen. Es kann somit nie sicher ausgeschlossen werden, dass ein Zugriff\u00a0 auf die pers\u00f6nlichen Daten der deutschen B\u00fcrgerinnen und B\u00fcrger und andere sch\u00fctzenswerte Daten der Verwaltung m\u00f6glich ist \u2013 das geht eben nur bei einem konsequenten Einsatz von Open Source Software.<\/p>\n

Gerade erst vergangene Woche musste Microsoft schottischen Sicherheitsbeh\u00f6rden gegen\u00fcber zugeben, dass sie nicht garantieren k\u00f6nnen, dass sensible Daten auch wirklich in Gro\u00dfbritannien bleiben. Das Versprechen der Datensouver\u00e4nit\u00e4t von Microsoft ist damit nichts als d\u00fcnne Luft. Es wirkt vor diesem Hintergrund absurd, dass bei der Sondersitzung des IT-Planungsrates \"ein gemeinsames Bekenntnis zur Notwendigkeit einer auch unter Souver\u00e4nit\u00e4tsaspekten tragf\u00e4higen Delos-L\u00f6sung\" herbeigef\u00fchrt werden soll, nachdem aus so vielen
\nunterschiedlichen Richtungen auf die betr\u00e4chtlichen Souver\u00e4nit\u00e4tsm\u00e4ngel von Microsoft 365 verwiesen wurde. Der IT-Planungsrat verschlie\u00dft vor den ungel\u00f6sten Problemen die Augen und versucht sich die Delos-Cloud souver\u00e4ner zu reden, als sie ist.<\/p>\n

Sicherheitstechnische Bedenken<\/h3>\n

So zahlreich wie die Datenschutzbedenken sind auch die schwerwiegenden Sicherheitsvorf\u00e4lle bei Microsoft, die immer wieder bekannt werden. Sicherheitsl\u00fccken sind in der Welt der Softwareentwicklung an sich nicht ungew\u00f6hnlich, aber Microsoft wird in diesem Zusammenhang immer wieder f\u00fcr den schlampigen Umgang mit seinen Sicherheitsvorkehrungen und f\u00fcr die mangelhafte Transparenz bei der Aufarbeitung der Vorf\u00e4lle kritisiert.<\/p>\n

So wurde beispielsweise im April 2024 bekannt, dass Mitarbeitende \"versehentlich sensiblen Code, Anmeldedaten und weitere interne Daten des Konzerns \u00fcber einen \u00f6ffentlich zug\u00e4nglichen Azure-Server freigaben, der nicht durch Kennw\u00f6rter gesch\u00fctzt war (siehe Ungesicherter Microsoft Azure Server legt Passw\u00f6rter etc. von Microsoft-Systemen offen (Feb. 2024)<\/a>). Die entdeckten Daten wurden erst einen Monat nach einer Sicherheitswarnung entfernt.\"<\/p>\n

Im Zuge eines Cyberangriffs im Februar 2024 durch mutma\u00dflich russische Hacker auf die E-Mail-Konten mehrerer hochrangiger Microsoft-F\u00fchrungskr\u00e4fte erkl\u00e4rte Microsoft, \"dass sie es vers\u00e4umt haben, bew\u00e4hrte Praktiken f\u00fcr alle ihre Systeme – neue und alte – zu standardisieren, was einen Angriff wie diesen h\u00e4tte verhindern k\u00f6nnen\".<\/p>\n

Besonders aufsehenerregend war zuletzt der Diebstahl eines Master-Keys f\u00fcr Azure im Sommer 2023. Die US-amerikanische Bundesbeh\u00f6rde f\u00fcr die Sicherheit von IT und kritischer Infrastruktur CISA hat Microsoft in diesem Zusammenhang ein vielfaches Versagen bei der Cybersicherheit vorgeworfen und \"empfiehlt, die Entwicklung neuer Features f\u00fcr die Cloud zur\u00fcckzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind.\"<\/p>\n

Es sei nicht nachvollziehbar, so die OSBA, dass das Bundeskanzleramt ausgerechnet jetzt die L\u00e4nder dazu dr\u00e4ngt, kritische Prozesse der \u00f6ffentlichen Verwaltung in die Cloud von Microsoft zu verlagern.<\/p>\n

Strategische Bedenken<\/h3>\n

Betrachtet man den Sachverhalt auf einer vergaberechtlichen Ebene, muss man festhalten, dass es \u00fcberhaupt keine rechtskonforme Grundlage daf\u00fcr gibt, die L\u00e4nder so \u00fcberhastet in Cloud-Vertr\u00e4ge mit Delos zu dr\u00e4ngen. Hier wird versucht, Inhalte in bestehende Rahmenvertr\u00e4ge hinein zu pr\u00fcgeln, wof\u00fcr diese Rahmenvertr\u00e4ge \u00fcberhaupt nicht gedacht waren.<\/p>\n

Auch auf einer \u00fcbergeordneten Ebene ist das ein strategischer Fehler: Jetzt soll \u00fcber die unz\u00e4hligen rechtlichen und sicherheitstechnischen Probleme schnell hinweg gesehen werden, damit die Vertr\u00e4ge abgeschlossen werden k\u00f6nnen \u2013 die US-Amerikaner sind ja unsere Verb\u00fcndeten, was soll da schon passieren?<\/p>\n

Aber mit diesem Schritt w\u00fcrde sich Deutschland in eine noch fatalere Abh\u00e4ngigkeit von der Microsoft-IT begeben, als es bei der Abh\u00e4ngigkeit vom russischen Gas der Fall war
\nund aus der wir uns gerade erst m\u00fchevoll befreit haben. Die politischen Verh\u00e4ltnisse und B\u00fcndnisse k\u00f6nnen sich schnell \u00e4ndern, beispielsweise bei den Pr\u00e4sidentschaftswahlen in den USA im November. Und eine komplexe Cloud-L\u00f6sung mit vielen Schnittstellen und technischen Abh\u00e4ngigkeiten l\u00e4sst sich nicht so einfach austauschen wie ein Gaslieferant.<\/p>\n

Wirklich souver\u00e4ne L\u00f6sungen sind verf\u00fcgbar<\/h2>\n

Der hektische Schritt in die Delos-Cloud w\u00e4re zum einen mal wieder ein erheblicher Nachteil f\u00fcr die europ\u00e4ische Wirtschaft, so die OSBA. Denn so werde verhindert, dass hierzulande weiter und im notwendigen Ma\u00df in gute Alternativen investiert wird, dass Kompetenz aufgebaut und die Gestaltungsf\u00e4higkeit der Verwaltung und der Wirtschaft gesichert wird. Zum anderen ist dieser Schritt, laut OSBA, \u00fcberhaupt nicht n\u00f6tig, weil wirklich souver\u00e4ne Alternativen bereits verf\u00fcgbar sind.<\/p>\n