Connect with us

Datenschutz & Sicherheit

Datenatlas der Bundesdruckerei: Verwaltungsmodernisierung von vorvorgestern


Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.

Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.

Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.

Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“

Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.

Großprojekt für datengetriebene Verwaltung

Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.

Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.

Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.

Wie Technik aus dem vergangenen Jahrtausend

Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.

Ein alter monochromer Monitor
Titelwortabfrage im historischen digitalen Katalog der ETH Zürich (15.04.1986) CC-BY-SA 4.0 ETH Zürich

Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.

Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.

Gefangen in proprietärer Software

Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.

Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.

Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.

Es drohen weitere Datensilos

Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.

Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.

Würde der Einsatz des Datenatlas‘ verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mach es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.

Bundesdruckerei erwägt rechtliche Schritte

Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.

Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“

„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“

Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Projekt Aegis: Niedersächsicher Cyberschutzschild basiert auf US-Technologie


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Aegis ist der mythische Schild des Zeus und der Athene – und nun auch des Landes Niedersachsen. Das verkündete Innenministerin Daniela Behrens am Mittwoch auf der Landespressekonferenz. Kernstück des „Projekts Aegis“ ist ein System zur automatischen Angriffserkennung und automatischen Abwehr, beigesteuert vom kalifornischen Unternehmen Palo Alto Networks. Das seit anderthalb Jahren laufende Projekt soll die Abwehrfähigkeit der Landeseinrichtungen, aber auch von Hochschulen und Kommunen im Flächenstaat erhöhen – zu einem stolzen Preis. Insgesamt habe man mit dreißig Millionen Euro „viel Geld in die Hand genommen“, sagten die Verantwortlichen.

Weiterlesen nach der Anzeige

Die Menge und Qualität von Cyberangriffen nehme stetig zu, erklärte die Ministerin – und auch die eigenen Systeme würden komplexer. Daher habe die Digitalisierungsabteilung des Innenministeriums gemeinsam mit der IT Niedersachsen den digitalen Schutzschirm konzipiert und eingeführt. Damit sei man im Vergleich mit den anderen Bundesländern führend, erläuterte Behrens. Till Beilstein von IT Niedersachsen zog für die Herausforderungen moderner IT-Sicherheit den bekannten Burg-Vergleich heran: Eine dicke Außenmauer genüge nicht mehr. Attacken durch mutmaßlich staatliche Akteure, etwa aus russischem Staatsgebiet, aber auch aus Südostasien und dem Nahen Osten, machten einen großen Anteil der Angriffe aus.

Man wolle, so die Verantwortlichen, schneller in Erkennung und Reaktion werden und bediene sich dafür auch KI- und Cloud-gestützter Verfahren. Das XSIAM (eXtended Security Intelligence and Automation Management) des US-Unternehmens Palo Alto Networks soll hier helfen. Es ist so großzügig ausgelegt, dass es durch Land, Hochschulen und Kommunen genutzt werden kann, ist sich Ministerin Behrens sicher. Interessenten würden ab dem zweiten Halbjahr 2026 sukzessive unter den „Cyber-Schutzschild“ geholt.

Ein weiteres Ziel des Projekts ist ein ganzheitliches Lagebild der IT-Sicherheit für Niedersachsen. XSIAM soll das N-CERT (Niedersachsen Computer Emergency Response Team) bei Warn- und Meldeaufgaben unterstützen.

Digital wenig souverän – aus Sachzwang?

Von heise security gefragt, ob dies nicht dem Ziel der digitalen Souveränität widerspräche, entgegnete Ministerin Behrens: Zwar sei Palo Alto Networks ein US-Anbieter, doch habe die digitale Souveränität ihre Grenzen in der Anbieterqualität. In Ermangelung europäischer Alternativen habe man sich für den, so Behrens, weltweit führenden Firewall-Anbieter aus dem kalifornischen Santa Clara entschieden.

Fachbereichsleiter Beilstein sekundierte: Es sei über technisch-organisatorische Maßnahmen sichergestellt, dass keine Daten aus dem Landesnetz ins Ausland flössen, etwa in die Analysecloud von Palo Alto Networks.

Weiterlesen nach der Anzeige


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitspatches: Atlassian sichert Confluence & Co. gegen mögliche Attacken


Atlassian hat für Bamboo, Bitbucket, Confluence, Crowd, Jira und Jira Service Management Data Center und Server wichtige Sicherheitsupdates veröffentlicht. Nach erfolgreichen Attacken können Angreifer in erster Linie DoS-Zustände und somit Abstürze auslösen.

Weiterlesen nach der Anzeige

In diesem Kontext wohl nicht kritisch

Aus einer Warnmeldung geht unter anderem hervor, dass die Entwickler zwei „kritische“ Lücken (CVE-2025-12383, CVE-2025-66516) geschlossen haben. Diese betreffen Eclipse Jersey und Apache Tika, die Bamboo und Confluence Data Center und Server einsetzen. Die Entwickler führen aus, dass die Schwachstellen die Atlassian-Anwendungen nicht unmittelbar betreffen und demzufolge ein geringerer Bedrohungsgrad gilt. Sind Attacken erfolgreich, können beispielsweise eigentlich nicht vertrauenswürdige Server als vertrauenswürdig eingestuft werden.

Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Hier können Angreifer etwa für DoS-Attacken (zum Beispiel CVE-2025-52999) ansetzen. Es kann aber auch Schadcode auf Systeme gelangen (etwa CVE-2025-55752). Außerdem können sich Angreifer als Man-in-the-Middle in Verbindungen einklinken (CVE-2025-49146).

In Atlassians Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. So etwas kann sich aber schnell ändern und Admins sollten zeitnah die zum Download stehenden Sicherheitsupdates installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.

  • Bamboo Data Center and Server:

12.0.2 Data Center Only

Weiterlesen nach der Anzeige

10.2.13 to 10.2.14 (LTS) recommended Data Center Only

9.6.21 to 9.6.22 (LTS) Data Center Only

  • Bitbucket Data Center and Server:

10.1.1 to 10.1.4 Data Center Only

9.4.15 to 9.4.16 (LTS) recommended Data Center Only

8.19.26 to 8.19.27 (LTS) Data Center Only

  • Confluence Data Center and Server:

10.2.2 (LTS) recommended Data Center Only

9.2.13 (LTS) Data Center Only

  • Crowd Data Center and Server:

7.1.3 recommended Data Center Only

6.3.4 Data Center Only

  • Jira Data Center and Server:

11.3.0 to 11.3.1 (LTS) recommended Data Center Only

11.2.1 Data Center Only

10.3.16 (LTS) Data Center Only

9.12.26 to 9.12.31 (LTS)

  • Jira Service Management Data Center and Server:

11.3.1 (LTS) recommended Data Center Only

11.2.1 Data Center Only

10.3.16 (LTS) Data Center Only

5.12.29 to 5.12.31 (LTS)


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Weitere Probleme mit Windows Updates aus dem Januar


Microsoft hat weitere Probleme aufgrund der Windows-Sicherheitsupdates vom Januar-Patchday eingeräumt. Einige Anwendungen können dadurch nicht mehr reagieren oder Fehlermeldungen ausgeben.

Weiterlesen nach der Anzeige

Das hat Microsoft jetzt in den Windows-Release-Health-Notizen bekannt gegeben. Nach Installation der Windows-Sicherheitsupdates aus dem Januar „können einige Anwendungen nicht mehr reagieren oder unerwartete Fehler auftreten, wenn sie Dateien von cloudbasiertem Speicher öffnen oder dorthin speichern, etwa wie OneDrive oder Dropbox“, erklärt Microsoft.

Als Beispiel führt das Unternehmen auf, dass in einigen Konfigurationen, in denen Outlook PST-Dateien in OneDrive speichert, Outlook nicht mehr reagieren könne und das erneute Öffnen fehlschlage, bis der Prozess mit dem Taskmanager beendet oder das System neu gestartet wird. Zudem können versendete E-Mails dadurch nicht im Gesendet-Ordner erscheinen und bereits heruntergeladene E-Mails erneut heruntergeladen werden.

Temporäre Gegenmaßnahmen

Microsoft schlägt vor, dass Betroffene die Entwickler der nicht korrekt reagierenden App kontaktieren und sie nach alternativen Zugriffsmethoden auf die Dateien befragen sollen. Für Outlook soll etwa das Verschieben der PST-Datei aus OneDrive das Problem lösen. Dafür stellt Microsoft eine eigene Anleitung bereit. Außerdem ließen sich E-Mail-Konten noch mittels Webmailer zugreifen, sofern der E-Mail-Provider das unterstützt. IT-Verantwortliche, die dringend Hilfe zur Behebung dieser Probleme benötigen, sollen sich an den Microsoft-Business-Support wenden.

Betroffen sind laut Microsofts Erklärung Windows 11 25H2, 24H2 und 23H2, Windows 10 22H2, Enterprise LTSC 2021 und LTSC 2019 sowie Windows Server 2025, 23H2, 2022 und 2019. Microsoft arbeitet an einer Lösung und will sie so schnell wie möglich bereitstellen.

Die Updates aus dem Januar haben jetzt schon einige unerwünschte Seiteneffekte. So kann Outlook etwa einfrieren oder hängen bleiben, wenn es für die Verwaltung von POP3-Mailkonten eingesetzt wird. Zum Ausbügeln zweier Fehler hat Microsoft am Wochenende bereits Notfallupdates außerhalb der Reihe veröffentlicht. Sie korrigieren, dass Windows 11 23H2 durch die Updates nicht mehr korrekt in den Schlafmodus gehen oder herunterfahren konnte. Außerdem konnte die Windows-App nicht mehr mittels Remote-Desktop-Verbindung auf Windows 365 oder Azure Virtual Desktop zugreifen.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Beliebt