Digitale Souveränität endet nicht beim Quellcode – sie beginnt beim sicheren Betrieb

Dienstag, Juli 15, 2025

In der öffentlichen Debatte rund um digitale Souveränität dominieren aktuell zwei Narrative:
Einerseits der politische Wille, sich von ausländischen Abhängigkeiten zu lösen – andererseits die Hoffnung, Open-Source-Software könne das Problem im Alleingang lösen. Plattformen wie openDesk und openCode werden dabei oft als Leuchttürme dargestellt. Doch ein kritischer Blick zeigt: Quelloffenheit allein macht noch keine souveräne Lösung.

Sicherheit braucht mehr als Transparenz

Open Source ist ein wichtiger Baustein – keine Frage.
Aber: Nur weil der Quellcode einsehbar ist, heißt das nicht, dass ein System automatisch sicher oder vertrauenswürdig ist.
Ein Beispiel: Viele der in openCode veröffentlichten Komponenten sind nicht gehärtet, beinhalten bekannte Schwachstellen (CVEs) und werden ohne verbindliche Betriebsverantwortung in Umlauf gebracht.

Problematisch wird es dann, wenn Kommunen oder kleinere Behörden diese Komponenten ohne vertieftes Sicherheitskonzept eigenständig einsetzen – im Glauben, sie hätten damit eine souveräne Lösung im Haus. Das Gegenteil ist oft der Fall.

Community-Varianten: Ein Sicherheitsrisiko mit Ansage

Die offen zugänglichen Community-Varianten mancher Verwaltungssoftware basieren auf unklaren Betriebsmodellen.
Fehlende Update-Prozesse, inkonsistente Patchzyklen und keine nachvollziehbare Betriebsdokumentation führen dazu, dass der eigentlich begrüßenswerte Open-Source-Ansatz zur Sicherheitslücke wird.

Gerade weil keine zentrale Instanz den Betrieb verantwortet, verlagert sich das Risiko vollständig auf die Behörde selbst. Und dort fehlen nicht selten Ressourcen, Know-how oder Zeit für regelmäßige Sicherheitsupdates, Monitoring, Backup & Recovery oder Netztrennung.

Hosting: Kein nebensächlicher Aspekt, sondern sicherheitsrelevant

Ein weiteres Problem liegt im Betrieb selbst:
Oft wird die Software durch die Nutzer selbst gehostet – ohne verbindliche Anforderungen an Infrastruktur, Zugriffsschutz oder Monitoring.
Was in einem abgeschotteten Unternehmensnetzwerk vielleicht noch zu kontrollieren ist, wird zum Problem, wenn Lösungen unreflektiert ins Internet gehoben oder unzureichend segmentiert betrieben werden.
Souveränität ohne sichere Betriebsumgebung ist ein Trugschluss.

Was es wirklich braucht

Digitale Souveränität muss mehr sein als ein Label. Sie braucht:

  • - Verantwortliche Betriebsmodelle, idealerweise auf zertifizierter Infrastruktur (z. B. souveräne Cloud-Angebote wie STACKIT)
  • - Härtung und Security by Design, nicht nachgelagert, sondern integraler Bestandteil jeder Entwicklungsstufe
  • - Kontinuierliche Sicherheitsbewertung (z. B. CVE-Monitoring, Pentests, Compliance-Audits)
  • - Transparente Update-, Backup- und Recovery-Strategien
  • - Verbindliche Dokumentation und Mindestanforderungen an Betreiber

Lichtblicke: Enterprise-Initiativen mit Substanz

Erfreulich ist, dass es auch positive Entwicklungen gibt:
Die vom ZenDiS beauftragte Enterprise-Variante von openDesk wird von B1 Systems entwickelt – gemeinsam mit STACKIT als souveränem Hostingpartner und unter Begleitung einer großen Managementberatung, die ein belastbares Sicherheits- und Governance-Konzept einbringt.

Das zeigt: Es geht. Aber eben nicht zum Nulltarif – und nicht ohne Verantwortung.

Die Aufgabe von BSI, BMDS und IT-Planungsrat: Aus Technik muss Struktur werden
Damit digitale Souveränität nicht auf der Strecke bleibt, braucht es mehr als Einzelinitiativen:

  • ▶️ Das BSI muss klare Mindeststandards und Härtungsempfehlungen für souveräne Open-Source-Lösungen formulieren – über Grundschutz hinaus.
  • ▶️ Das neue Bundesministerium für Digitales und Staatsmodernisierung (BMDS) muss die Eigenverantwortung der Behörden beim Betrieb ernst nehmen – und Förderprogramme an verbindliche Sicherheitsstandards koppeln.
  • ▶️ Der IT-Planungsrat sollte dafür sorgen, dass keine Community-Lösungen mehr in den Behördenbetrieb überführt werden, ohne dass Betriebskonzepte, Backup-/Recovery-Pläne und Sicherheitsprüfungen vorliegen.

Digitale Souveränität ohne abgestimmte Struktur ist keine Unabhängigkeit – sondern organisierte Verantwortungslosigkeit.

Digitale Souveränität ist keine Softwarefrage – sondern eine Frage der Haltung, des Betriebs und der Sicherheit.
Wer Open-Source-Lösungen propagiert, muss auch deren Absicherung gewährleisten.
Wer Betrieb delegiert, muss Verantwortung mitgeben.
Und wer Vertrauen fordert, muss Sicherheit garantieren – nicht versprechen.
WARUM. Eine persönliche Reflexion zur Cybersecurity-Realität »
« nordsec erhält das Siegel „BVMW-geprüfte Beratung für mittelständische Unternehmen“