Sovereign Tech FundNeuer Fördertopf finanziert sieben Open-Source-Projekte

Weite Teile der Wirtschaft und Zivilgesellschaft nutzen Open-Source-Software, die häufig nur von wenigen Einzelpersonen entwickelt und gewartet wird. Dem soll der Sovereign Tech Fund Abhilfe verschaffen. Mit 1,7 Millionen Euro vom Wirtschaftsministerium startet er jetzt in die Pilotrunde.

Bunte Leitungen für den Glasfaserbau auf einer Wiese.
Die Förderung digitaler Open-Source-Infrastruktur durch die Bundesregierung nimmt konkrete Form an (Symbolbild) – Alle Rechte vorbehalten IMAGO / Rainer Weisflog

Am Dienstag ist der Sovereign Tech Fund (STF) gestartet. In einer Pilotrunde fördert er sieben Open-Source-Projekte mit insgesamt 1,7 Millionen Euro. Der neue Fördertopf erhält Mittel vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) und verwendet sie dazu, offene Kerntechnologien unserer digitalen Infrastruktur zu unterstützen. Eine Machbarkeitsstudie der Open Knowledge Foundation hatte im Vorfeld bemängelt, dass die aktuelle Entwicklungsökonomie von Open-Source-Software nicht nachhaltig sei und sicherheitsrelevante Probleme berge. Denn häufig sorgen wenige Einzelpersonen für deren Erhalt und Wartung.

„Wenn wir uns auf Open-Source-Codes und Technologien verlassen, dann müssen wir sicherstellen – insbesondere mit Blick auf kritische Infrastruktur – dass diese Open-Source-Codes gewartet, gepflegt und weiterentwickelt werden. Und genau das wollen wir mit dem Sovereign Tech Fund machen“, erklärte Laura Krug vom Referat für Datenverfügbarkeit, Digitale Souveränität und Sprind im BMWK auf einer Veranstaltung des Tagesspiegel.

Der STF ist bei der Agentur für Sprunginnovation angesiedelt. Laut Haushaltsentwurf sollen im Jahr 2023 insgesamt 11,5 Millionen Euro in das Open-Source-Ökosystem investiert werden. Die sieben aktuell geförderten Projekte wurden nach den in der besagten Machbarkeitsstudie vorgeschlagenen Kriterien von Reichweite, Kritikalität und aktueller Unterversorgung in der Wartung ausgewählt.

Eines der geförderten Projekte ist die Software-Bibliothek OpenMLS, welche Ende-zu-Ende Verschlüsselung von Nachrichten ermöglicht. Diese ist laut STF-Website unentbehrlich für zahlreiche Anwendungen von Unternehmen, Verwaltung und Zivilgesellschaft. Curl, ein anderes gefördertes Open-Source-Tool, wird zur Übertragung von Daten genutzt. Dahinter steht eine Software-Bibliothek, welche als eine der meistgenutzten überhaupt gilt. Obwohl es in Autos, Modems, etlichen Webanwendungen und Smartphones genutzt wird, werde Curl seit vielen Jahren von wenigen instandgehalten und finanziert. Die vollständige Liste der Projekte findet sich auf der Seite des STF.

Ohne funktionierende Infrastruktur keine Innovation

Open Source ist mittlerweile kein Randphänomen mehr und laut Machbarkeitsstudie „integraler Bestandteil kritischer digitaler Basistechnologien“. Laut Open-Source-Monitor des Branchenverbands Bitkom 2021 verwenden 81% der mittelständischen Unternehmen Open-Source-Software, zum Teil in sicherheitskritischen Bereichen. Jedoch gaben nur 55% aller Unternehmen ab 20 Beschäftigten an, auch etwas zum Open-Source-Ökosystem beizutragen.

In der Machbarkeitsstudie heißt es dazu, „zunehmend [sind] auch Einzelenwickler:innen von Projekten dafür verantwortlich, Betrieb und Instandhaltung von [offenen digitalen Basistechnologien] mit eigenen Ressourcen zu bewerkstelligen. Dies birgt ein hohes Risiko für die Entwicklungsökonomie“. Zudem dominiere ein Innovationsdiskurs, welcher zu einer Vernachlässigung von Wartung und Weiterentwicklung führe. Sichtbar wird die Fragilität des status-quo häufig erst dann, wenn Dinge schief gehen, so beispielsweise bei der Sicherheitslücke in der Java-Library Log4j im Dezember 2021.

Deshalb werde nun „mit der Pilotrunde die Instandhaltung und Verbesserung existierender kritischer Software unterstützt“, sagt Fiona Krakenbürger, Leiterin des STF. Mit den sieben Pilotprojekten sei jedoch nur ein erster Grundstein gelegt, das Projekt solle weiter wachsen. Auch müsse der Rahmen vergrößert und ein gesamteuropäischer Blick auf das Open-Source-Ökosystem eingenommen werden. Außerdem ist für die Zukunft geplant, ein Frühwarnsystem für Sicherheitslücken aufzubauen. Ein sogenanntes Bug-Bounty-Programm soll verhindern, dass Sicherheitslücken wie Log4j erst „auffallen, wenn es zu spät ist“.

Die beiden Leiterinnen des STF haben zuvor beim ähnlich gelagerten Prototype Fund (PF) gearbeitet. Gegenüber dem PF zeichnet sich der neue Fördertopf vor allem durch seine weitaus größeren finanziellen Möglichkeiten aus. Hinzu kommt ein anderer Schwerpunkt: Während der PF sich für „die Erprobung von Ideen sowie die Entwicklung von Open-Source-Anwendungen“ einsetzt, das heißt vor allem Innovation fördert, konzentriert sich der STF auf die Verbesserung und Erhaltung bestehender digitaler Infrastruktur.

2 Ergänzungen

  1. nur schade, dass die website diametral gegen die eigenen forderungen handwerklich so grottenschlecht umgesetzt ist. etliche und technisch zweifelhafte 3rd party abhängigkeiten – die hippe agentur, die das da hingerotzt hat hat sich noch nicht mal die mühe gemacht google fonts lokal abzulegen.

    sorry das beisst sich mir doch zu arg wenn ausgerechnet jene bigtech internet unternehmen für die eigene präsentation gebraucht werden….

  2. Das ist schön und gut aber die Kommunikation auf der Seite könnte Korrekter sein, Unter BGP Liest es sich z.B. so als würde BGP nicht nur an den Peering Points sondern „irgendwo“ (also z.B. auch an einem Endpoint-router beim Kunden) gesprochen. Das halte ich für falsch denn ich meine der Ort steckt schon im Namen. Es wird an der Grenze (Border) eines Autonomen Systems genutzt. Also beim Peering und nicht beim Kunden (oder irgendwo dazwischen?). Dort kann ein Fehler aber zugegebenermaßen großen Schaden anrichten. Wenn dort „Gewöhnliche Linux Computer“ eingesetzt würden, ich wäre in Sorge. ;-)

    Mich wundert auch das die Essentiell wichtige DNS-Software als Angriffsziel (noch?) nicht vertreten ist. Speziell bei BIND gibt es doch immer wieder Probleme. Sind die nicht auf mangelnde Wartung und Geldmangel zurück zu führen? Von den genannten PGP-Varianten hab ich nie gehört, von GnuPG schon. ??? Liegt all das nur daran das ich keine Software schreibe sondern sie eher benutze?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.