Die Bundesregierung gibt Milliardensummen für Produkte großer IT-Konzerne wie Microsoft und Oracle aus und nimmt dabei die starke Herstellerabhängigkeit in Kauf. Das geht aus einer Antwort auf eine Kleine Anfrage der Linken-Politikerin Anke Domscheit-Berg zum Thema Digitale Souveränität und Open-Source-Lösungen hervor. Darin gibt die Bundesregierung teilweise Zahlen zu Rahmenverträgen heraus. Neben der Antwort veröffentlichte Domscheit-Berg zudem eine Analyse der Angaben. Letztere umfasst auch Daten zu einzelnen Fragen aus der Anfrage, die die Bundesregierung zur Verschlusssache erklärt hat.
Demnach umfassen laufende IT-Rahmenverträge zwischen dem Bund und den zehn größten Vertragspartnern 13,6 Milliarden Euro. Der Großteil von etwa zwölf Milliarden geht an über 20 Software-Hersteller aus Japan, Indien, Israel, China und vor allem aus den USA. Der Rest fließt an deutsche Unternehmen, darunter an den Softwareriesen SAP und das IT-Sicherheitsunternehmen Secunet. Zu vernachlässigen ist das Vertragsvolumen von 20.000 Euro, das kleine IT-Unternehmen aus Deutschland untereinander aufteilen müssen.
Die hohen Ausgaben der Ampel für proprietäre Software und IT-Leistungen stehen im Widerspruch zu ihrer Ankündigung im Koalitionsvertrag: Man wolle sich zugunsten der Digitalen Souveränität von proprietärer Software unabhängig machen und stattdessen vermehrt auf Open-Source-Lösungen setzen.
Für die Bundes-IT vergibt sie nun unter anderem großzügige Aufträge an Microsoft und Oracle. Allein diese Rahmenverträge belaufen sich auf gut sechs Milliarden Euro, wobei die Rahmenverträge mit Oracle von 4,8 Milliarden Euro den Löwenanteil ausmachen. Einer davon ist ein Einzelvertrag mit einem Volumen von 4,6 Milliarden Euro, der zudem auf sieben Jahre ausgelegt ist.
Kaum Geld für Open Source
Dagegen sehen die Ausgaben des Digitalministeriums für Open-Source-Software (OSS) eher mager aus. Laut Domscheit-Berg geht aus den Angaben, die die Bundesregierung als Verschlusssache erklärt hat, hervor, dass das Ministerium unter Volker Wissing (FDP) seit Ende 2021 aus dem Budget für Software-Entwicklung von mehr als 22 Millionen Euro lediglich 121.000 Euro für OSS ausgegeben hat.
Auch die Ausgaben für IT-Dienstleistungen, die mit proprietärer Software arbeiten, lagen deutlich über denen für OSS, fasst Domscheit-Berg unter Verschluss stehende Angaben zusammen. IT-Dienstleistungen im Zusammenhang mit proprietärer Software, die separat von Entwicklungsaufträgen eingekauft wurden, hätten 99,5 Prozent des Gesamtvolumen von ca. 3,5 Milliarden Euro beansprucht. Die Ausgaben für OSS beliefen sich auf 18,6 Millionen Euro.
Dabei sah es im vergangenen Jahr danach aus, als würde die Ampel OSS stärken. Sie richtete die Plattform OpenCoDE ein, auf der Software für die Verwaltung öffentlich geteilt und weiterentwickelt werden soll. Sie engagierte sich für den offenen Arbeitsplatz openDesk, der frei sein soll von proprietärer Software. Und sie installierte eine Behörde, deren einziger Zweck es ist, digitale Souveränität zu erreichen: das Zentrum für digitale Souveränität (ZenDiS).
Zaghafte Bemühungen
Doch das ZenDiS steckt noch in der Findungsphase. Künftig solle es der öffentlichen Verwaltung die Arbeit an OSS-Lösungen unterstützen, wobei es die rechtlichen und operativen Anforderungen berücksichtigt. Das Ziel sei ein leistungsfähiges deutsches und europäisches OSS-Ökosystem, so die Bundesregierung in ihrer Antwort.
Zwar bewertet die Ampel solche Abhängigkeiten als kritisch und lässt mit dem ZenDiS und OpenCoDE Schritte in Richtung Digitaler Souveränität erkennen. Zu den Zielen des ZenDiS gehöre etwa auch, das Bewusstsein für den Mehrwert von OSS in der öffentlichen Verwaltung wie auch in der Gesellschaft zu stärken. Gleichzeitig erklärt sie, dass sie nicht weiß, ob OSS ein effektives Mittel sei, um Abhängigkeiten zu lösen. Das Vertragsvolumen mit Oracle jedenfalls habe „keinen unmittelbaren Einfluss auf die Digitale Souveränität.“
„Reine Lippenbekenntnisse“
Dass die Bundesregierung auf IT-Rahmenverträge mit Herstellern von proprietärer Software setzt, ist mehrfach problematisch. So können Verwaltungen breit gefasste Rahmenverträge für beliebig viele Einzelverträge nutzen, ohne jedes Mal neu ausschreiben zu müssen. Damit ersparen sie sich zwar den Aufwand, den Vergabeprozesse mit sich bringen. Allerdings führt dies dazu, dass Behörden Aufträge weniger an kleine Unternehmen vergeben, die OSS-Lösungen anbieten.
Auch ist es gesetzlich nicht verpflichtend, OSS einzusetzen. Laut Entwurf für das neue Onlinezugangsgesetz (OZG) sollen Behörden „IT-Komponenten dort, wo es technisch möglich und wirtschaftlich ist, als OSS bereitstellen“ und ihr vor solcher Software den Vorrang geben, „deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt“. Doch zu bewerten, was „technisch möglich“ und was „wirtschaftlich“ ist, bleibt der jeweiligen Behörde überlassen, die die Komponente bereitstellt und weitere vergaberechtliche Vorgaben in ihre Entscheidung einpreisen muss.
Doch auch an anderer Stelle hakt es. Die Bundesregierung hat keine klaren Zielvorgaben für den Einsatz von OSS aufgestellt, bis zu welchem Zeitpunkt an welcher Stelle OSS implementiert sein soll. So hat sie etwa noch keine konkrete, übergreifende Strategie entwickelt, wie sie Schnittstellen für OSS standardisieren kann. Das wäre besonders wichtig für die Interoperabilität. Zudem könnte eine solche Strategie ermöglichen, sich einen Überblick über die verwendete OSS zu verschaffen. Erste Pläne dazu hat die Bundesregierung schon gefasst, etwa die Zentralstelle Lizenzmanagement Bund (ZLB), die Daten zusammenführen und veröffentlichen soll. Das sei laut Domscheit-Berg eine sinnvolle Maßnahme, aber auch „schon lange überfällig“.
Die aktuellen Zahlen zeigen nun: Die Ampel kauft wie ihre Vorgängerregierungen teure proprietäre Software für viel Geld ein. „Nicht einmal der für die Digitalstrategie zuständige Minister Wissing hält sich an das, was er darin angekündigt hat“, sagt Domscheit-Berg. Für die Entwicklung von OSS habe er lediglich 0,5 Prozent seines Budgets für Softwareentwicklung ausgegeben. OSS zu fördern und Digitale Souveränität bei IT-Entscheidungen als Richtschnur zu sehen, seien deshalb „reine Lippenbekenntnisse“, so die Abgeordnete.
Sind diese Beschaffungen nicht öffentlich auszuschreiben?
Gibt es Ressorts, die besonders gerne Proprietäres einkaufen?
Gibt es einen Zusammenhang mit Lobbyismus?
Es wird eine konkrete Dienstleistung ausgeschrieben. Sogar wenn „nur“ Software beschafft wird, wird diese mit der Dienstleistung eines Wartungsvertrags ausgeschrieben. Anbieter von OpenSource-Software können bei dieser Art von Dienstleistung in der Regel gar nicht mithalten, weil sie weder das nötige Personal noch die Verfügungsgewalt haben, die Software im Rahmen des Wartungsvertrages pflegen zu können. Diese Wartungsverträge sind natürich absolute Gummiveträge (von Seiten des Herstellers) da wird zwar zu einer Reaktionszeit aber ja zu keiner effektiven Fehlerbehebung verpflichtet.
Bei aller berechtigter Kritik, aber dieser Punkt IST ein echter Nachteil von OpenSource Software im Geschäftsumfeld. Wenn sich eine Firma in ein Softwarepaket richtig reinarbeitet, sodass sie wirksame Wartungsverträge anbieten können, dann haben sie nämlich immer noch den Nachteil, dass jede Verbesserung der Software auch allen Nicht-Kunden zugute kommt. Ob man das jetzt mag oder nicht, das ist erstmal schlecht für’s eigene Geschäft und ein Marktnachteil ggü. Microsoft/Oracle. Und ohne Geld hat man dann wieder kein gutes oder ausreichend viel Personal.
Firmen wie RedHat und Suse können da ein Angebot machen, auf das eine Firma X aufspringen kann und im Verbund mit diesen auch Software für Kunden anbieten kann. Dann kommen die Features und die Konfiguration von Firma X und die Bugfixes von RedHat / Suse. Sowas gibt es, aber nicht sehr groß oder weit verbreitet.
Die Geschäftsmodelle sehen halt ein bischen anders aus.
Dennoch gibt es Wartung laufender Systeme, sowie kundenspezifische Anpassungen.
Perspektivisch könnte man aber schon versuchen eine Businessdistribution zu schaffen, bzw. einen Kosmos dafür. Mit Fördermitteln, man das Land, das IT will, Nachwachsendes fördern will, Abhängigkeiten verringern will, usw. usf. Das ist halt der Aspekt, wo entweder weit verbreitete Erkenntnis stehen muss (unwahrscheinlich), oder ein Teil der bisherigen Lizenzkosten in die allgemeine Infrastruktur fließen müssen, so dass wiederum Dienstleister ohne Radwiederfindungssyndrom und Halsstarre effizient Angebote machen können.
Lizenztechnisch kann auf Applikationsebene schon einiges gehen, wenn man bereit ist dafür eine Basis zu schaffen. Dort wo es nötig ist, können durchaus proprietäre Teile entwickelt werden. Sinnvolle Entwicklung auf Betriebssystemebene für Windows fällt mir im Moment auch eher nicht ein. Eigene Systeme modifizieren ist i.d.R. kein Problem bei freien Lizenzen, bei Verteilen von Lösungen an mehrere Kunden wird es allerdings komplizierter, wenn man z.B. keinen eigenen Browser oder Documentviewer implementieren will.
Das ist aber das Hauptproblem, weil eigentlich der strategische Ansatz geändert werden muss, gegebenenfalls sogar Auschreibungen reglementiert werden müssen (je nach Umfeld/Projektart). Strategisch, so wie bei Energieversorgung sieht dann so aus: „Wir nehmen das Gas aus Russland, weil wir sonst keine chemische Industrie (+-) haben können. Dabei ignorieren wir konzeptionell die Grundversorgung der Bevölkerung, weil wir in dem Szenario sowieso abgewählt würden.“ (Opportun, dass es die Ampel damit nun erwischt.)
Ja, das hinkt etwas, allerdings haben solche Abhängigkeiten durchaus problematische Folgen, wie man z.T. an vielen Stellen auf der Welt bereits sehen konnte. Wir wären gut damit beraten bei IT-Fragen nicht an einem einzigen Tropf zu hängen.
Aber dann jammern:
„Wir haben so viele Haushaltslöcher und keine Einsparmöglichkeiten!“
„Wir sind abhängig!“
„Unsere Systeme sind nicht sicher und können gehackt werden!“
u. v. m.
Wo liegt die Motivation, so dermaßen offensichtlich im Widerspruch zum Koalitionsvertrag zu handeln??
Teil des Problems ist leider, dass zum einen dem Bund zZt schlicht die Kompetenz fehlt, um Auftraege qualifizierter zu vergeben, und zum anderen die Ausschreibungen schnell so komplex und anforderungsgespickt sind, dass kleinere Unternehmen erst garnicht teilnehmen. An letzterem ist ersteres und die deshalb beauftragten Dienstleister natuerlich stark beteiligt.
Aber natuerlich haben die derzeit handelnden Politiker auch kein Interesse, das zu aendern, denn Konzerne zahlen besser und der Markt regelt das dann.
„. An letzterem ist ersteres und die deshalb beauftragten Dienstleister natuerlich stark beteiligt.“
Den Satz verstehe ich nicht.
„denn Konzerne zahlen besser und der Markt regelt das dann.“
Der Bund zahlt für die proprietäre Software und nicht umgekehrt. Wenn Du natürlich „Konzerne zahlen besser“ im Sinne von „Lobbyisten bestechen Abgeordnete“ meinst: Japp, das macht Sinn.
Im Übrigen: Microsoft und Apple sind schon seeehr lange bei mir nicht mehr in IT-Systemen vorhanden. Das ist sehr befreiend -> Nachmachempfehlung gegeben!
Der Bund, und generell weite Teile der oeffentlichen Verwaltung, haben nicht die notwendigen IT Kompetenzen, um Dinge auszuschreiben. Die haben nichtmal die notwendigen IT Kompetenzen und Vorstellungen, um zu entscheiden, was sie ausschreiben wollen. Das ist keine Wertung oder Vorwurf, das ist leider der gegenwaertigen Stand der Dinge nach 30y Politik in diese Richtung.
Also werden Dienstleister damit beauftragt, zusammen mit der Verwaltung zu erarbeiten, was man wie will und was man daher wie ausschreibt. Diese Beautragung wird natuerlich auch ausgeschrieben. Gewinnen tun das wiederum idR grosse Beratungsfirmen mit Leuten, die auf oeffentliche Verwaltungen und deren Arbeitsweise als Kunden spezialisiert sind und deren Beautragung fuer die ansonsten ahnungslosen Entscheider in Politik und Verwaltung als risikoarm erscheint. Diese ueblichen Verdaechtigen entwickeln dann Ausschreibungen, die idR die ueblichen Verdaechtigen aus der IT Industrie gewinnen, denn auch das erscheint als risikoarm fuer die oeffentlich Verantwortlichen und maximal lukrativ fuer die Dienstleister. Ein Berater arbeitet immer fuer den Folgeauftrag.
Der persoenliche Erfolg der Entscheider in Verwaltung und Politik ist relativ unabhaengig vom Erfolg oder gar Kosten des IT Projektes, solange die Beauftragungen in diesen Kreisen plausibel erscheinen. Und plausibel ist, was alle machen.
„Und plausibel ist, was alle machen.“
Genau das ist die falsche Haltung unserer Politik samt Verwaltung. Immer schön dem Mainstream nach und wenn es noch so hemmend, unsinnig und kostenintensiv ist. Der Link des Kommentators weiter unten („Koinno“, bes. interessant Seite 30) beweist, dass es auch anders ginge, wenn man wollte.
Auf die Sache mit den „Wartungsverträgen“ bezogen heisst das: Gerade unter Linux gibt es verschiedene Release-Konzepte, die lediglich auf ihre Anwendbarkeit in Verwaltungssystemen hin getestet werden müssten. Das ist aus meiner Sicht eine Frage des politischen Willens und nicht der generellen Machbarkeit.
D’accord. Aber da sind wir dann wieder an dem Punkt, dass die Konzerne am besten bezahlen und Politiker sich groesstenteils als Wirtschaftsfoerderer im Sinne maximalen Geldtransfers an die Lobbyfinanziers sehen.
Die Politiker von CDU/CSU, SPD und FDP haben die letzten 30y ueberhaupt kein Interesse erkennen lassen, den Staat jenseits von Ueberwachung und Repression irgendwie handlungsfaehig zu machen. Ganz im Gegenteil, die privaten Gewinne liegen schliesslich im Gegenteil.
FYI
https://www.koinno-bmwk.de/
War eigentlich von Anfang an klar, dass sie sich auch da nicht dran halten werden.
Nun, jetzt wird die Abhängigkeit jedenfalls noch drastisch zunehmen.
Und wenn es dann wieder einen Sicherheitsvorfall bei Microsoft & Co gibt oder – noch „besser“ – Microsoft usw mal einfach so wieder ein Angebot streichen – das wird dann richtig lustig.
Wie vertragen sich Microsoft und Oracle eigentlich mit der DSGVO? Und mit den Sicherheitsinteressen Deutschlands, die ja aktuell zum Ausschluß aller Huawei-Produkte aus der Mobilfunkinfrastruktur Deutschland führen sollen. Weil eine ausländische Regierung darüber spionieren könnte.
Marvin:
Sie vertragen sich nicht mit ihr. Es sind US-Firmen, deren Produkte bzw. deren Softwarearchitektur auf maximales Datensammeln ausgelegt sind. Sie sie dem US-Patriot-Act verpflichtet und müssen deshalb alle gesammelten Daten den dortigen Behörden auf Verlangen aushändigen.
Sich dagegen zu wehren, wurde mit der Einführung von Windows 10 immer schwieriger und mit den neuesten Versionen samt Windows 11 sogar (fast) unmöglich.
Huawei hat nichts damit zu tun, ist aber ein chinesisches Unternehmen, dem ebenfalls die Implementation diverser Hintertüren in seine Hardware unterstellt wird, die es chinesischen Behörden ermöglicht, Daten abzugreifen und Spionage zu betreiben.
Das Problem ist auch das es keine Schlüsselfertigen Open Source Lösungen gibt. Im Bund gibt es keine Kompetenz dafür welche Lösungen zu entwickeln. Zumal müssen alle Anbieter sicherstellen das sie keine Rechte dritten verletzten. Es zeigt sich auch das Open Source nicht unmittelbar günstiger sein muss, das große Problem ist das niemand der Bundesregierung um sonst ihre Softwarelösungen Programmiert. Jene die freie Lösungen anbieten müssen immer gegen Misstrauen arbeiten, ob die Lösung auch funktioniert. Auch Software-Giganten nutzen Open Source und bei einigen Lizenzmodellen müssen sie die Quellen auch wieder veröffentlichen. Die Politik hat daran kein Interesse und die Software-Giganten nutzen natürlich ihren Einfluss. Hinzu kommt auch noch das die Bundesländer ihre eigene Suppe kochen!
Also eigentlich ist es fast schon so, dass man diese Verträge, die existieren, alle mal veröffentlichen müsste (wenn man Zugriff auf sie hat) um zu zeigen, dass es wirklich die fehlende Kompetenz ist, die dafür sorgt, dass solche Verträge überhaupt durchgehen. In Bayern wird darüber auch endlos diskutiert und immer wieder bekräftigt wie gut alles lauft, siehe Drucksache 18/16599 (als Beispiel). Aber um nochmal auf interne Verträge zu kommen: Es gibt Open Source, eingekauft – wie angesprochen – mit Support von Capgemini, Eviden, Atos, secunet, mgm-tp. Alles riesen Schiffe an Consultingfirmen, die sich im Staat „implementieren“. Lizenzbedingungen von a12 (mgm-tp entwickelt das) mal lesen. Sobald die Software implementiert ist gelten die Lizenzbedingungen, welche besagen, dass eine andere Entwicklerfirma eine Entwicklungslizenz bei mgm einkaufen muss, damit sie Stücke des Codes von a12 ändern dürfen. Kosten der Entwicklerlizenz können dann auch gerne mal paar hundert Euro kosten und vielleicht nur einige Tage laufen.
Das ist im Fall des Oracle-Rahmenvertrages (https://ted.europa.eu/udl?uri=TED:NOTICE:324505-2023:HTML:DE:HTML&tabId=1&tabLang=de) gar nicht so kompliziert, da stehen dann so erhellende, um Transparenz bemühte Formulierungen drin wie:
(…) Im Wege einer vertraulichen Kooperationsvereinbarung zwischen dem Auftragnehmer und dem BSI wurde eine Grundlage geschaffen, um einen sicherheitstechnisch angemessenen Einsatz von Produkten und Diensten zu ermöglichen. (…)
(…) Die Bauleistungen/Lieferungen/Dienstleistungen können aus folgenden Gründen nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden:
nicht vorhandener Wettbewerb aus technischen Gründen (…)
Wobei ich vermute, dass es sich bei ca. 80% der Lieferleistungen um die Nutzung stupider relationaler Datenbanken aus handgelöteter frühgeschichtlicher Softwarepaläontologie handelt, die eher einer flachen technischen Evolutionsstufe zugehörig sind, ohne Front-Ends, ohne irgendwelche sophisticated Sichten-Manager, ohne irgendwas. Es gibt vermutlich nicht mal ein Dashboard mit einem Monitoring der Lieferleistungen, aus denen die Bürger ablesen könnten, was für diesen Megadiscountpreis von läppischen X-Milliarden Euro geliefert wurde/wird…
Im genannten Dokument steht auch:
(…) Zuschlagskriterien
Preis (…)
und ein paar Zeilen darunter:
(…) Angaben zu den Angeboten
Anzahl der eingegangenen Angebote: 1 (…)
Es ist unfassbar, dass hier keine Bemühungen unternommen werden die Lieferleistung in klassifizierbaren, standardisierteren Leistungsbeschreibungen zu verfassen, sodass diese einem wettbewerbs- und marktgerechten Vergleich unterzogen werden könnten. Nicht einmal Bedingung im Sinner der Erfüllung von ISO Qualitäts- oder Umweltstandards sind enthalten.
Wer eine Ahnung davon bekommen möchte, weshalb „die“ Politiker (nicht meine) gegen jede Vernunft an M$ & Co. festhalten, schaue sich diese Dokumentation an: https://invidious.snopyta.org/watch?v=_7583HNrZJs
Die ist so aktuell wie eh und je, allen Lippenbekenntnissen (aka Koalitionsvertrag) zum Trotz.
Den Bedenkenträgern (es gibt nicht fertiges; Wartungsverträge etc.) könnte man Dänemark und Estland als leuchtende Beispiele unter die Nase halten. Die machen seit vielen Jahren vor, dass und wie Verwaltung mit FOSS funktioniert.