• Beschluss des Petitionsausschuss des Deutschen Bundestags

    at 21 Nov 2019 02:25

    Pet 1-19-06-2263-004653 Internet

    Der Deutsche Bundestag hat die Petition am 17.10.2019 abschließend beraten und
    beschlossen:

    Die Petition
    a) der Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat –
    als Material zu überweisen,
    b) den Fraktionen des Deutschen Bundestages zur Kenntnis zu geben.

    Begründung

    Mit der Petition soll erreicht werden, dass Bundesbehörden bei Ausschreibungen für
    IT-Systeme auf die Verwendung von vollständig quelloffenen Betriebssystemen und
    Anwendungen bestehen.

    Zu diesem Thema liegen dem Petitionsausschuss eine auf der Internetseite des
    Deutschen Bundestages veröffentlichte Eingabe mit 154 Mitzeichnungen und
    12 Diskussionsbeiträgen sowie eine weitere Eingabe mit verwandter Zielsetzung vor,
    die wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Prüfung
    unterzogen werden. Der Petitionsausschuss bittet um Verständnis, dass nicht auf alle
    der vorgetragenen Aspekte im Einzelnen eingegangen werden kann.

    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass nur quelloffene
    Betriebssysteme und Anwendungen von deutschen Sicherheitsbehörden vollständig
    auf Sicherheitsprobleme geprüft werden könnten. Bei proprietärer Software hätten
    deutsche Sicherheitsbehörden keinen Einblick in den Quellcode. Die
    „Schwarmintelligenz“ des Internets führe bei quelloffener Software dazu, dass
    Sicherheitslücken schneller gefunden und geschlossen würden, als dies bei
    proprietärer Software der Fall sei. Proprietäre Betriebssysteme und Software seien
    daher nachweislich anfälliger für Hacker-Attacken.

    Die Festlegung auf das Microsoft-Betriebssystem verstoße nach vielen Experten auch
    gegen das europäische Ausschreibungsrecht, das die Konzentration auf bestimmte
    Marken verbiete.
    Darüber hinaus seien quelloffene Betriebssysteme und Anwendungen
    kostengünstiger, da Lizenzgebühren wegfielen.

    Nicht erst seit Edward Snowden sei es ein offenes Geheimnis, dass US-amerikanische
    Sicherheitsbehörden Hintertüren in proprietären Anwendungen hätten, welche das
    Ausspähen deutscher Behörden durch US-amerikanische Geheimdienste
    erleichterten. Wenn der Quelltext eines Betriebssystems oder einer Anwendung nicht
    offen sei, könne vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht
    geprüft werden, ob Hintertüren eingebaut seien.

    Der mit der Petition vorgeschlagene Einsatz quelloffener Betriebssysteme und
    Anwendungen könne deutsche und europäische IT-Unternehmen stärken, da diese
    die Gelegenheit bekämen, quelloffene Betriebssysteme und Anwendungen an die
    Bedürfnisse von Behörden anzupassen, was bei proprietärer Software nicht möglich
    sei.

    In sicherheitskritischen Bereichen, wie der Bundeswehr, solle proprietäre Software
    eingesetzt werden dürfen, wenn dem BSI der zugrunde liegende Quelltext vollständig
    bekannt sei.

    Ein weiterer Petent fordert darüber hinaus ein Verbot des Einsatzes proprietärer
    Software in der öffentlichen Verwaltung.

    Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
    Unterlagen verwiesen.

    Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
    zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
    unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
    zusammenfassen:

    Der Petitionsausschuss stellt zunächst fest, dass die Nutzung quelloffener Software
    erhebliche Chancen bietet.

    Ferner weist der Ausschuss darauf hin, dass die IT-Ausstattung der Behörden der
    öffentlichen Verwaltung von einer Vielzahl von Entscheidungsträgern und Einflüssen
    bestimmt wird. Die Bundesregierung hat in ihrer Stellungnahme mitgeteilt, dass
    grundsätzlich bei jeder Beschaffung der mögliche Einsatz von freier und quelloffener
    Software im Rahmen der geltenden Vorgaben geprüft wird. Hierbei handelt es sich um
    einen laufenden Prozess. Entscheidend für die Software-Auswahl ist, ob die
    geforderten Fähigkeiten im Gesamtsystemzusammenhang erreicht werden können.
    Hierzu sind Kriterien wie die Funktionalität, Interoperabilität, IT-Sicherheit, der
    Realisierungs-, der Pflege- und Ausbildungsaufwand, die Verfügbarkeit von
    Fachanwendungen und die Usability zu prüfen. Dort wo es sinnvoll und wirtschaftlich
    ist, ist der Einsatz von Open-Source-Produkten bzw. freier Software vorgesehen. Die
    Entscheidung für ein IT-System ist somit in jedem Einzelfall komplex und muss dafür
    Sorge tragen, dass in dem vorgesehenen Einsatzbereich die geforderten
    Leistungsmerkmale erfüllt sind, das System technisch eingeführt und betrieben
    werden kann und dass die gebotene Sicherheit gewährleistet ist.

    Zudem werden die aus Sicht des Datenschutzes und der IT-Sicherheit bei einem
    Einsatz von Software in der Bundesverwaltung notwendige Anforderungen bei der
    Erarbeitung der Sicherheitsarchitekturen ermittelt. Zur Gewährleistung dieser
    Anforderungen wird in vielen Fällen eine netztechnische Trennung der
    Gesamtstrukturen vom Internet vorgesehen. Diese verhindert die Übertragung von
    personenbezogenen sowie schutzbedürftigen Daten an die Hersteller oder
    unberechtigte Dritte.

    Auf Basis dieser Überlegungen stimmen sowohl das BSI als auch der Beauftragte für
    den Datenschutz und die Informationsfreiheit (BfDI) einem Einsatz der
    entsprechenden Systeme zu.

    Des Weiteren existiert keine Festlegung für eine dauerhafte Nutzung eines
    Windows-Betriebssystems. Mit der fortschreitenden Entkopplung der Anwendungen
    vom Client erfolgt eine erneute Bewertung der Betriebssystementscheidung. Bei
    dieser werden auch die strategischen Probleme einer Neubewertung unterzogen, die
    bei einem Einsatz von Betriebssystemen bestehen. Dies sind insbesondere die
    Gewährleistung der Informationssicherheit, die dauerhafte Erhaltung der Hoheit und
    Kontrollfähigkeit über die eigene IT und die Herstellerabhängigkeit. Die Auswahl von
    Betriebs- und sonstigen Systemen erfolgen entsprechend den o. g. Angaben unter
    Beachtung des Vergaberechts.

    Hierbei liegt die zur Durchführung komplexer IT-Beschaffungen erforderliche
    Kompetenz bei den zentralen Stellen für IT-Beschaffung. Diese haben auch das nötige
    Know-how zur Umsetzung angemessener IT-Sicherheits- und
    Datenschutzanforderungen in allen Stufen des förmlichen Vergabeverfahrens. Die
    entsprechenden Vorgaben ergeben sich u. a. aus der IT-Beschaffungsstrategie für die
    zentralen IT-Beschaffungsstellen, die spezifische IT-Sicherheits- und
    Datenschutzanforderungen für alle IT-Warengruppen (d. h. Hardware, Software,
    Kommunikationstechnik, IKT-Dienstleistungen) enthält. Die IT-Beschaffungsstrategie
    wurde durch die Konferenz der IT-Beauftragten der Ressorts am 13. Dezember 2017
    beschlossen. BSI und BfDI waren daran beteiligt und werden in die weitere
    Fortschreibung einbezogen.

    Abschließend hebt der Petitionsausschuss hervor, dass im Koalitionsvertrag zwischen
    CDU, CSU und SPD für die 19. Wahlperiode hinsichtlich der Verbesserung der
    IT-Sicherheit u. a. Folgendes vorgesehen ist (Rn. 1974 ff.):

    […] „Wir werden das IT-Sicherheitsgesetz fortschreiben und den Ordnungsrahmen
    erweitern, um den neuen Gefährdungen angemessen zu begegnen. Wir wollen das
    BSI als nationale Cybersicherheitsbehörde ausbauen und in seiner Rolle als
    unabhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit stärken. Die
    Aufgaben des BSI werden wir im BSI-Gesetz konkretisieren. Die Beratungs- und
    Unterstützungsangebote des BSI für Bund und Länder, für Unternehmen und
    Einrichtungen sowie für Bürgerinnen und Bürger wollen wir ausbauen, den
    Verbraucherschutz als zusätzliche Aufgabe des BSI etablieren und das BSI als
    zentrale Zertifizierungs- und Standardisierungsstelle für IT- und Cyber-Sicherheit
    stärken.“ […]

    Zudem wird in Rn. 5886 ff. des Koalitionsvertrages Folgendes ausgeführt:

    […] „Eine erfolgreiche Digitalisierungsstrategie setzt Datensicherheit voraus. Wir
    wollen, dass gemeinsam zwischen Bund und Ländern, möglichst sogar in ganz
    Europa, Sicherheitsstandards für die IT-Strukturen und den Schutz der kritischen
    Infrastruktur entwickelt werden. Den mit dem IT-Sicherheitsgesetz eingeführten
    Ordnungsrahmen werden wir in einem IT-Sicherheitsgesetz 2.0 weiterentwickeln und
    ausbauen. In diesem Zusammenhang werden wir die Herstellerinnen und Hersteller
    sowie Anbieterinnen und Anbieter von IT-Produkten, die neben den kritischen
    Infrastrukturen von besonderem nationalem Interesse sind, stärker in die Pflicht
    nehmen.“ […]

    Vor diesem Hintergrund empfiehlt der Petitionsausschuss im Ergebnis, die Petition der
    Bundesregierung – dem Bundesministerium des Innern, für Bau und Heimat – als
    Material zu überweisen und den Fraktionen des Deutschen Bundestages zur Kenntnis
    zu geben, um auf das Anliegen der Petition besonders aufmerksam zu machen.

    Der von der Fraktion der FDP gestellte Antrag, das Petitionsverfahren abzuschließen,
    ist mehrheitlich abgelehnt worden.

    Begründung (PDF)

Help us to strengthen citizen participation. We want your petition to get attention and stay independent.

Donate now