Wenn Fachleute über Jahre hinweg davor warnen, dass moderne Kommunikationsmethoden mit ihrem komplexen und zugleich nicht einsehbarem Programmcode eine sicherheitstechnische Black Box darstellen, verbleibt das in der Regel ungehört. Nur wenn aktuelle Sicherheitsvorfälle den Warnungen der Experten urplötzlich in aller Deutlichkeit Brisanz verleihen, finden die ansonsten unstrittigen Sicherheitsbedenken Eingang in die allgemeine politische Diskussion. Zumindest für einige Tage.
Als im Februar 2024 bekannt wurde, dass eine Webex-Videokonferenz der Bundeswehr zu einer potenziellen Belieferung der Ukraine durch deutsche Taurus-Marschflugkörper umfänglich abgehört wurde, waren Spott und Sorge gleichermaßen präsent. Die Brisanz und Bedeutung digitaler Souveränität und sicherer Kommunikation wurde auch außerhalb der üblichen Expertenkreise mehr als offensichtlich.
Dies war nicht der einzige Webex-relevante Zwischenfall und offenbarte einmal mehr: Einem Quellcode, der nicht von unabhängigen Dritten überprüft wird, darf nicht vertraut werden. Versehentlich oder absichtlich eingebaute Hintertüren, sei es durch den Anbieter selbst oder durch eine Manipulation eines Dritten, sind ein geradezu alltägliches Problem.
Eine bewusste Verletzung der DSGVO?
Umso bedenklicher ist es, wenn man sich vor Augen führt, dass Kommunikationslösungen von staatlichen deutschen Institutionen teilweise in der Hand von internationalen, meist US-amerikanischen, Unternehmen liegen. Findet die Datenverarbeitung dann in den jeweiligen Heimatländern der Anbieter statt, ist dies mit den strengen deutschen oder europäischen Datenschutzgesetzen in aller Regel nicht mehr vereinbar.
So ermöglicht beispielsweise der US Cloud Act, mit dem Aus des Privacy Shields, US-amerikanischen staatlichen Institutionen Zugriff auf sämtliche, durch US-amerikanische Unternehmen verarbeitete Daten, unabhängig von der Herkunft der Daten. Was danach mit den Daten geschieht, ist nicht länger einsehbar oder nachverfolgbar. Datenexport an US-Anbieter? Rechtlich typischerweise unzulässig, auch wenn landauf, landab alle Augen zugedrückt werden.
Transparenz durch Open Source
Das Problem liegt dabei neben dem Standort des Anbieters auch auf der Code-Ebene: Bei den meisten – von staatlichen Institutionen, Unternehmen und Privatpersonen im Alltag genutzten – Videokonferenz- und Kommunikationslösungen handelt es sich um sogenannte Closed-Source-Plattformen. Der Code dieser Software-Lösungen kann also nur von den jeweiligen Entwicklern und Anbietern eingesehen werden, die auf diese Weise Wettbewerbsvorteile im Markt wahren wollen.
Damit werden diese Plattformen für Außenstehende zu einer datenschutztechnischen Black Box, denn ohne einen Blick „in den Maschinenraum“ lässt sich unmöglich nachvollziehen, welche Daten gegebenenfalls wo, wie und zu welchem Zweck verarbeitet, gespeichert und weitergeleitet werden. Vor allem staatliche Institutionen müssen sich daher bewusst für unabhängige und überprüfbare Kommunikationsmittel entscheiden, bei denen sie die volle Kontrolle in den eigenen Händen behalten. Egal, ob es sich dabei um Videokonferenzen, E-Mails oder Messenger handelt.
Die Lösung können nur Open-Source-Anwendungen sein. Dabei handelt es sich um Software, deren komplette Code-Basis öffentlich einsehbar ist und deshalb auch von unabhängigen Experten auf versehentlich oder absichtlich eingebaute Schwachstellen oder Hintertüren überprüft werden kann. Diese Transparenz ermöglicht es dem Anwender, einen Blick „hinter die Kulissen“ zu werfen und auf dieser Basis eine informierte Entscheidung darüber zu treffen, ob einer Anwendung überhaupt vertraut werden kann.
Case Study: Die Thüringer Landes- und Kommunalverwaltung
Wie man Open-Source-Software einsetzen kann, zeigt zum Beispiel das Thüringer Finanzministerium. Mit dem Ziel, die Kommunikation und Zusammenarbeit, insbesondere für die digitale Gremienarbeit, zu verbessern, war die Einführung einer Videokonferenzlösung auf Open-Source-Basis gewünscht. Mit besonderem Blick auf die Erfüllung aller relevanten Datenschutz- und Sicherheitsanforderungen sowie die Einbindung in die vorhandenen Infrastrukturen und Betriebsprozesse des Landesrechenzentrums wurden zu Beginn der Corona-Pandemie verschiedene verfügbare Videokonferenzlösungen evaluiert.
Das Ergebnis: Keine der üblichen Lösungen konnte die spezifischen Anforderungen an die Integration in bestehende Systeme, Unterstützung älterer Hardware und schmalbandiger Netzwerke, Sicherheit sowie Benutzerfreundlichkeit zunächst erfüllen. Außerdem sollten bestimmte, für die alltäglichen Prozesse in der Gremienarbeit notwendige Funktionen Teil der Lösung sein – beispielsweise revisionssichere Abstimmungen und Sitzungsprotokolle sowie DSGVO-konforme Aufzeichnungen.
Die vorhandene Open-Source-Videokonferenzlösung Opentalk wurde um den für die Verwaltung notwendigen Funktionsumfang erweitert, sodass die von Thüringen initiierten Funktionserweiterungen auch langfristig und kostenlos anderen Bundesländern und Nutzern zur Verfügung stehen. Die freie Verfügbarkeit des Quellcodes spart langfristig Steuergelder.
Die nötige Rechenzentrums-Infrastruktur für die Einführung wurde vom Thüringer Landesrechenzentrum bereitgestellt, übrigens auch auf Basis einer selbst aufgebauten Open-Source-Verwaltungs-Cloud. Eine frühzeitige Einbindung wesentlicher Landesbehörden wie dem Thüringer Innenministerium, dem Thüringer Rechnungshof oder dem Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit stellte zudem sicher, dass die besonderen Anforderungen verschiedener Stakeholder im Rahmen des Projekts Beachtung fanden, um die Akzeptanz bei allen Nutzern sicherzustellen.
Fazit
Nur durch Open Source können wir die Verwaltung digitalisieren und zugleich sicherer und effizienter gestalten. Dass das auch die Verwaltung selbst als Teil der Lösung begreift, zeigt sich auch darin, dass neben Thüringen auch weitere Bundesländer eine Open-Source-Strategie erarbeitet haben. Auch Berlin hat sich für eine solche Open-Source-Strategie entschieden und mit der Gründung des Open-Source-Kompetenzzentrums (OSK) einen wichtigen ersten Schritt getan.
Nun müssen auf Worte Taten folgen. Wirtschaft und Verwaltung müssen diese Open-Source-Strategie mit schlanken Lösungen zum Wohle Berlins und seiner Bürger umsetzen. Mit der Einbeziehung mittelständischer Unternehmen und Start-ups können wir zudem deren Innovationspotenziale heben, lokale Wertschöpfung fördern und das Geld im eigenen Land lassen.
Lokale Wirtschaftsförderung ist zugleich der Garant dafür, dass Politik und Verwaltung auch in Zukunft noch unter vielen Anbietern ihre IT-Strategie frei wählen und handeln können. Ganz im Sinne des Staates, der Verwaltung und nicht zuletzt auch seiner Bürger.
Peer Heinlein ist Gründer und Geschäftsführer von Opentalk. Sein Unternehmen stellt die Videokonferenzlösung, die in Thüringen eingesetzt wird.