[de] 11min über die Digitalisierung in Ampel und GroKo |

„Die Klimaschutzziele von Paris zu erreichen, hat für uns oberste Priorität.” steht in der Präambel. Direkt danach Wirtschaftsförderung, darauf folgt die Modernisierung mit dem Unterpunkt Digitalisierung. Ein Blick in das Inhaltsverzeichnis und eine simple Wortanalyse zeichnen ein anderes Bild: Frei (177), Gerecht (75) und Nachhaltig (102) sind zwar häufige Schlagworte, doch Digital (226) ein viel häufigerer Bestandteil des Wordings Das erste große Thema ist „Moderner Staat, digitaler Aufbruch und Innovationen”. Digitalisierung ist also ein tiefgreifender Bestandteil des Vertrags, in allen Bereichen der Gesellschaft, der Verwaltung und Wirtschaft. Das war im Koalitionsvertrag 2018 ähnlich, dort jedoch mit dem Fokus auf „wollen”. Im Koalitionsvertrag 2021 überwiegt „werden”. 1

In den nächsten Jahren wird sich zeigen ob es zum „können” reicht. Bis es soweit ist, treibt mich die Frage um wie wichtig Digitalisierung in der Ampel ist.

Vorweg: Leider hat es bei der Konvertierung von .docx zu markdown Satzzeichen entfernt und ich bin zu faul das zu beheben. Ich bitte um Nachsicht 🙂

Positionen der Ampel

Die Positionierungen im Koalitionsvertrag stehen in einem starken Kontrast zu der Politik der Vergangenen Jahre, sicherlich auch, weil große Teile offensichtlich von der Formulierungshilfe des Chaos Computer Clubs inspiriert sind. In zahlreichen Anhörungen und offenen Briefen hatte der CCC aktuelle Gesetzesvorhaben der vorherigen Regierung kritisiert. Die Open Knowledge Foundation lobt den Vertrag sogar explizit und nimmt mir dabei in ihrem Statement zwei wichtige Gedanken vorweg. Erstens: ein Digitalministerium wird es leider nicht geben. Zweitens: jetzt bitte auch machen. Gerade das ausbleibende Ministerium ist verwunderlich, wo doch gerade die FDP im Wahlkampf deutlich kommunizierte, dass es bei der Digitalisierung viel zu tun gibt, so viel, dass eine eigene Institution sinnvoll wäre. Die Entscheidung hat Signalwirkung, denn ein Einstieg mit geringerem institutionellem und personellem Fokus suggeriert auch, dass andere Themen für wichtiger befunden werden. Ob diese Vermutung begründet ist, wird sich erst in den folgenden Jahren herausstellen. Doch unabhängig davon in welchem Rahmen die festgeschriebenen Ziele umgesetzt werden sollen, sind sie doch Ambitioniert. Gleichzeitig markieren sie einen positiven Richtungswandel in der Digitalpolitik: die neue Koalition scheint fachkundige Expertise und zivilgesellschaftliches Engagement wert zu schätzen.

// Flächendeckende Digitalisierung

Doch auch unabhängig von „klassischen” Netzpolitischen Themen sollen viele Bereiche durchdigitalisiert werden. So unter Anderem Waldmonitoring oder die Meldepflicht bei touristischen Übernachtungen. Begründung ist hier oft der Abbau bürokratischer Hürden. Wie jedoch die damit einhergehenden technische Hürden für die IT- medieninkompetenen Deutschen abgebaut werden sollen, bleibt leider unklar. Die Einrichtung einer Bundeszentrale für digitale Bildung wäre jedoch ein Anfang. Die Digitalkompetenz zukünftiger Generationen soll schon ab der frühkindlichen Bildung gefördert werden, auch soll die „Unterstützung von zivilgesellschaftlichem Bildungsengagement” gestärkt werden. Das klingt für Initiativen wie „Chaos macht Schule” erstmal gut, bleibt aber unkonkret, auch der Digitalpakt Schule ist dahingehend nichtssagend.

Zur Digitalisierung in der Verwaltung finden sich sehr spezifische Ansätze, die erahnen lassen, dass hier Zeitnah angesetzt werden soll. Doch bei allem Optimismus beschleicht mich der Verdacht es werden noch Jahre vergehen bis eine Föderierte Cloud der Öffentlichen Verwaltung ausgeschrieben werden kann.

// Digitale Sicherheitspolitik

Ganz im Gegensatz zur aktuellen Cybersicherheitsstrategie werden Hackbacks „grundsätzlich” zur Cyberabwehr abgelehnt, was jedoch auch einen großen Interpretationsspielraum offenlässt, grundsätzlich ist ein eher doppeldeutiges Wort. Ein horten von Sicherheitslücken um Hackbacks oder Angriffe „vorzubereiten” schwächt die generelle Cyberabwehr, sollte also unbedingt vermieden werden. Diese Erkenntnis scheint sich durchgesetzt zu haben, so finden sich neben einem „Recht auf Verschlüsselung” und dem Bekenntnis zu einer „Security-by-Design” Policy auch die Bestrebungen das BSI „unabhängiger aufzustellen”, was in der Praxis eine Entkoppelung vom BMI bedeuten sollte.

// Zwischenfazit

Während in Randbereichen wie dem Tourismus sehr konkrete Policy-Ansätze zur Digitalisierung vorhanden sind, sind besonders wichtige Bereiche wie die IT-Sicherheit sehr schwammig gehalten. Hier wird erst die Zukunft zeigen ob Lösungen auf dem Koalitionsvertrag aufbauen oder die ambitionierten Ziele auf der Strecke bleiben.

Vergangene Digitalpolitik

Eine einfache Auflistung aller kritikwürdigen Entscheidungen der großen Koalition von 2005-2021 und Überlegungen zu möglichen Alternativen sprengt den Rahmen eines kurzen Blogbeitrags und würde sich zu stark mit der Formulierungshilfe des Chaos Computer Clubs überschneiden. Einige Prozesse und Entscheidungen der Vergangenheit sind jedoch besonders gute Beispiele um Handlungsempfehlungen zu begründen.

Wie ein roter Faden zieht sich eine Serie von mangelhafter Fachkompetenz gepaart mit Beratungsresistenz durch die 16 Jahre. Zu erwarten, dass sich eine Regierung in allen Bereichen bestens auskennt ist unrealistisch, doch der größten unabhängigen Interessenvereinigung für Digitale Themen im Europäischen Raum wenig Gehör zu schenken und deren Sachverständnis in Ausschüssen zu ignorieren hat sich als Fehler herausgestellt. Insbesondere die CDU hat bewiesen, dass auch Intern noch Nachholbedarf im Bereich dersicheren Digitalisierung und Gepflogenheiten der IT-Sicherheitsszene existiert.

// Digitale Sicherheitspolitik

So wurde trotz heftiger Kritik von Sachverständigen, unter anderem dem CCC, der Einsatz von Schadsoftware in der Strafverfolgung beschlossen. Die gravierenden Auswirkungen von nicht geschlossenen Sicherheitslücken mit dem Ziel Systeme zu hacken, können an Lücken wie EthernalBlue betrachtet werden. Die Sicherheitsbedrohung (sowohl von Innen als auch Außen) solcher Lücken war bekannt, wurde aber Ignoriert. Die Beihilfe von Anbietern zum einspielen solcher Schadsoftware auf Geräte wurde ebenfalls gegen Sachverständigenrat durchgesetzt.

Lücken in Software oder Infrastruktur, welche mit Öffentlichen Geldern realisiert wird, können eher entdeckt werden, wenn freie Software nicht nur benutzt, sondern auch aktiv weiterentwickelt wird. So kann die Wahrscheinlichkeit, dass Lücken wie log4j lange unentdeckt bleiben gesenkt werden.

// Kommunikationsinfrastruktur

Der Aufbau öffentlicher Infrastruktur zur verbindlichen, vertraulichen und rechtssicheren digitalen Kommunikation zwischen Behörden, Unternehmen und der Bevölkerung war für alle Beteiligten ein Trauerspiel. De-Mail war konzeptionell schlecht, die integrierte Verschlüsselung wurde bis 2015 (vermutlich zugunsten der Zugriffsmöglichkeit von Sicherheitsbehörden) schlecht Ausgebaut, die Anbindung an Behörden war bis 2016 nicht vollständig. In Folge dessen wurde der Dienst kaum angenommen und hat sich als ein so großes Kostengrab herausgestellt, dass es 2021 eine Rüge vom Bundesrechnungshof an das zuständige BMI gab. De-Mail wird dieses Jahr eingestellt. Zur rechtssicheren Kommunikation gibt es seit 2015 das besondere elektronische Anwaltspostfach, welches ebenfalls von Sicherheitsexperten analysiert und aufgrund klaffender Sicherheitslücken lange nicht erreichbar war. In beiden Fällen hätte eine Open-Source Lösung mit öffentlich einsehbaren Audits zu mehr Sicherheit und Vertrauen geführt.

Anregungen für die Zukunft

Der erste Schritt ein Problem zu lösen, ist es als Solches zu erkennen. Die Ampel macht das gut. Doch auch bei der Planung von Lösungswegen sollte aus der Erfahrung der GroKo gelernt werden um vergangene Fehler nicht fortzuführen oder zu wiederholen. Explizit soll die Digitalisierung im Gesundheitswesen laut Koalitionsvertrag beschleunigt werden, hier ist aber eher Entschleunigung ratsam: in alter Tradition wurde auch die Telematikinfrastruktur überhastet eingeführt, eine zusätzliche Beschleunigung birgt Sicherheitsrisiken und senkt die Akzeptanz bei ärzteschaft.

Ein wirksames Schwachstellenmanagement kann nur betrieben werden, wenn Schwachstellen bekannt sind. Die externe Überprüfung bestehender Systeme zu veranlassen erscheint in Anbetracht der historisch fragwürdigen Umsetzung sinnvoll. Das ist jedoch Zeit- und Kostenintensiv. Der erste Schritt sollte deshalb die Legalisierung der Identifizierung von Schwachstellen sein, damit Zivilgesellschaftliche Akteure bedenkenlos Lücken in fremden IT-Systemen finden und melden können, oder plump gesagt die Abschaffung der sogenannten Hackerparagrafen. Digitale Sicherheit ist keine Vertrauenssache. Mit einer zunehmend Digitalen Verwaltung ist es essentiell, dass die Sicherheit geprüft werden kann, damit wir nicht nur hoffen, dass Systeme sehr sicher sind, sondern es genau wissen.

Im öffentlichen Auftrag entwickelte Software sollte nicht nur Quelloffen sein, sondern auch die darin verwendete Open-Source Software gepflegt werden. Dazu gehören auch externe Sicherheitsüberprüfungen.

Ebenfalls überprüfungswürdig ist die Bestrebung „im Rahmen der verfassungsrechtlichen Grenzen digitale Wahlen ermöglichen”. Allein die bei Bundestagswahlen eingesetzte Meldesoftware wies in der Vergangenheit gravierende Sicherheitslücken auf. Bei vollständig digitalen Wahlen ist es, zusätzlich zum Sicherheitsrisiko von Computersystemen, technisch unmöglich den laufenden Auszählungsprozess nachzuvollziehen. Ob die Wahlgrundsätze eingehalten werden, ist so unnachvollziehbar.

[1] Sowohl nach der Kompensation des Längenunterschieds anhand der Häufigkeit des Wortes „und” als auch absolut. Gezählt wurden die Wortpaare „wir + wollen” und „wir + können”.