Der Deutschland-Stack (D‑Stack) soll die Verwaltungsdigitalisierung ins Rollen bringen, so die Hoffnung von Bund und Ländern. Der D‑Stack besteht aus Komponenten, die alle bis zur Kommune nachnutzen können – ohne sie aufwändig selbst entwickeln zu müssen. Damit das funktioniert, müssen aber alle mitmachen. Mitte Juni feierten Bund und Länder eine große Einigung im Bund-Länder-Gremium IT-Planungsrat: Die Länder verpflichten sich, sich an drei Basiskomponenten des Stacks anzubinden und sie auch zu nutzen.

Eine der Komponenten ist das National-Once-Only-Technical-System (NOOTS), das dafür sorgen soll, dass Bürger:innen nur einmal ihre Daten angeben und nicht jeder Behörde neu übermitteln müssen. Die zweite sind die technischen Komponenten zu Identität wie die eID-Funktion des elektronischen Personalausweises und die geplante digitale Brieftasche EUDI-Wallet. Die dritte Komponente ist schließlich FIT-Connect, die Antragstellungen erleichtern soll.

Sie alle sind inzwischen Bestandteile des D‑Stacks, dem Prestige-Projekt von Digitalminister Karsten Wildberger (CDU). Auch die Zielarchitektur für Postfach- und Kommunikationslösungen (ZaPuK) und die Zahlungsabwicklung (ZBDS) gehören zum Katalog an Basiskomponenten.

Man stehe entschlossen hinter dem D‑Stack und der Einigung, sagte Anke Pörksen, Staatssekretärin im Niedersächsischen Ministerium für Inneres, Sport und Digitalisierung, beim Pressegespräch zur Sitzung. Das dürfte auch damit zusammenhängen, dass der Bund Konzeption, Pflege und Entwicklung der Komponenten eID, EUDI-Wallet, FIT-Connect und NOOTS zu großen Teilen finanzieren will. Davon verspricht man sich Fortschritt, der „zu spürbaren Erleichterungen für Bürger:innen sowie Unternehmen führen“ soll, so die gemeinsame Pressemitteilung.

Wie verbindlich ist die Verpflichtung?

Ob „die spürbaren Erleichterungen bei Bürger:innen“ tatsächlich ankommen, hängt jedoch stark von den Ländern ab. Während ein Staatsvertrag vom letzten Jahr die Länder ohnehin zu NOOTS verpflichtet, ist der neue Beschluss für FIT-Connect nur begrenzt verbindlich.

Bei FIT-Connect handelt es sich um ein Produkt der Föderalen IT-Kooperation (FITKO). Über die Infrastruktur werden Daten von Bürger:innen, Organisationen und Unternehmen an die Verwaltung transportiert. Das ähnelt einem bundesweiten Zustelldienst, der Anträge in einem standardisierten Format an die zuständige Stelle weiterleitet.

Das Ganze läuft über eine „einheitliche und leicht zu bedienende Schnittstelle“ und über alle föderalen Ebenen hinweg. Dabei setzt FIT-Connect auf international etablierte Standards auf und fördert die Übertragung von Antragsdaten in maschinenlesbarer Form. Eine gute Voraussetzung dafür, dass die Verwaltung davon wegkommt, mit PDFs zu arbeiten. Um die Anbindung zu erleichtern, unterstützt FIT-Connect mit technischen Komponenten und Know-how.

Wie die FITKO jedoch auf Anfrage mitteilt, hätten die Länder trotz Beschluss bestimmte Freiheiten. Denn „aus der Verpflichtung“ zur Anbindung im eigenen Land folge nicht, dass sie andere Transport-Infrastrukturen abschalten müssen. Außerdem könnten die Länder auch Lösungen wählen, „die von der standardmäßig vorgesehenen direkten Anbindung abweichen“.

FIT-Connect ist schon jetzt erfolgreich: Es sei bereits in allen Bundesländern im Einsatz, wobei Niedersachsen es bislang am meisten nutze, gibt die FITKO auf Anfrage an. Stark genutzte Leistungen seien auch schon „produktiv über FIT-Connect zu beziehen“: Man könne darüber etwa melden, wenn der Personalausweis verloren gegangen ist.

Vendor-Lock-in im Kleinen

Und doch kommen positive Effekte von FIT-Connect trotz der neuen Verpflichtung der Länder nicht unbedingt dort an, wo sie besonders nötig wären: bei den Kommunen. Während Bund und Länder FIT-Connect selbst schon länger kostenlos nutzen können, entstehen am Übergang zum Fachverfahren häufig hohe Kosten. Beim Fachverfahren handelt es sich um Software „auf der Basis von Datenbanken“. Die Verwaltung braucht sie, um ihre Aufgaben zu bearbeiten. Neben Datenbanken und Software-Anwendungen gehören häufig auch Schnittstellen zum Fachverfahren. Über die Schnittstellen kann die Verwaltung Daten zwischen verschiedenen Systemen austauschen.

Wenn Kommunen Fachverfahren, die sie bisher genutzt haben, an FIT-Connect anschließen wollen, sind sie stark vom Hersteller des jeweiligen Fachverfahrens abhängig. Der muss nicht nur die technische Anbindung umsetzen, sondern gibt auch die Preise vor. So würden die Hersteller Lizenzgebühren dafür verlangen, eine Adapter-Lösung zwischen ihren Fachverfahren und FIT-Connect zu bauen, sagt Hauke Traulsen, der bei der FITKO für das Produktmanagement zum FIT-Connect verantwortlich ist. Für jede Instanz würden fünfstellige Beträge fällig.

Die Belastung bestätigt auch der Deutsche Landkreistag (DLT) gegenüber netzpolitik.org. „Hohe Integrationsaufwände und Kosten“ entstünden dort, „wo unterschiedliche Transportstandards oder Postfachlösungen parallel bestehen und angebunden werden müssen.“

Daher würden die Kommunen schon lange „die Vorgabe von Basiskomponenten“ fordern, so der DLT. Der Beschluss zum D‑Stack werde dieser Forderung gerecht. Dass sich die Länder verpflichten und der Bund die Basiskomponenten finanzieren und sich für den Betrieb verantwortlich zeichnen will, stelle „wichtige Weichen“.

Jedoch bezahlt der Bund nicht dafür, die Komponenten in den einzelnen Ländern in die Breite zu bringen. Die Kosten tragen die einzelnen Länder. Der DLT mahnt daher: „Eine Flächendeckung funktioniert nur, wenn die Länder ihrer Verantwortung für die Kommunen gerecht werden.“ Dazu gehöre auch, den Aufwand zu finanzieren, der sich im Land bei der Anbindung ergibt.

Teure Doppelstrukturen

Das Land Nordrhein-Westfalen geht beim Thema Schnittstellen indes einen Sonderweg, mit dem Gesetz APIGATE NRW (€). Künftig sollen Anträge standardisiert über eine zentrale, landesspezifische Infrastruktur in die Kommunalverwaltungen weitergeleitet werden. Das Gesetz legt fest, dass Kommunen diese Infrastruktur nutzen müssen. Es funktioniert wie FIT-Connect, bestünde aber als parallele Struktur und würde auch bestehende Lösungen nicht ersetzen.

Bildlich gesprochen hängt das Land einen neuen, einheitlichen Briefkasten für digitale Anträge auf und lässt alle alten Briefkästen daneben hängen. Ein chaotisches Netz an Wegen, die Anträge vom Antragstellenden bis zum Amt nehmen. Kommunen hätten damit weitere Kosten – und die sind aus einem weiteren Grund schwer zu bändigen: Damit ein Antrag aus dem landeseigenen Gateway im Fachverfahren ankommt, muss der Hersteller die Software entsprechend umbauen. Auch das kostet die Kommunen Geld.

Für alle, die in NRW bereits FIT-Connect nutzen, bedeutet APIGATE Doppelstrukturen und zusätzliche Kosten. Das würde beispielsweise Behörden oder Organisationen betreffen, die über FIT-Connect an ein nationales Register angebunden sind. Zudem will die FITKO mit FIT-Connect auch das NOOTS stärker in die Breite bringen, so Traulsen. Wie sich APIGATE NRW zum NOOTS verhalten wird, scheint im Gesetz bislang nicht geklärt zu sein.

Am liebsten morgen

Wenn es nach dem Bund, IT-Planungsrat und der FITKO ginge, würden sich die Länder nun möglichst bald an die Basiskomponenten anbinden. Realistisch sei aber, dass ein Umstieg „in dieser Größenordnung wahrscheinlich drei bis fünf Jahre in Anspruch“ nimmt, so die FITKO auf Anfrage. Die Länder wollen sich in Sachen Anbindung noch in diesem Jahr auf einen Zeitplan in Form einer verbindlichen Meilensteinplanung festlegen.

Wer prüft, ob sich die Länder tatsächlich angebunden haben, sei laut FITKO noch nicht klar. Immerhin führe FIT-Connect einen Anbindungskatalog, in dem erfasst sei, wer sich angebunden hat.

„Grand Theft Auto VI“, oder kurz „GTA 6“, wird langsam greifbar – Vorbestellungen sind jetz möglich, am 19. November wird das Spiel verfügbar. Das große Interesse an dem Spiel wissen aber auch Online-Kriminelle für sich zu nutzen.

Das berichtet Malwarebytes in einem Blogbeitrag. Betrügerische Webseiten sprießen demnach wie Pilze aus dem Boden, die vermeintlich das anbieten, was viele Menschen sich derzeit wünschen: Einen Weg, „GTA 6“ zu spielen, bevor es offiziell veröffentlicht wird. Sie ködern Opfer mit markigen Sprüchen wie „Erhalte GTA 6 vor allen anderen“ oder „Kaufe VIP-Frühzugriff“ („Get GTA 6 before everyone else“, „Buy VIP early access“). Dafür seien lediglich einige hundert US-Dollar in Form von Kryptowährungen zu zahlen, ein Payment-Code einzugeben und schließlich angeblich das Spiel freizuschalten.

Betrügerische Webseiten ködern Opfer

Die Virenanalysten erklären, dass jede Webseite, die behauptet, einen Frühzugriff auf „GTA 6“ zu verkaufen, nicht von Rockstar Games autorisiert wurde und als betrügerisch angesehen werden sollte, bis Rockstar Zugangsmöglichkeiten über die offiziellen Kanäle verkündet. Ansonsten zahlen Opfer und erhalten dafür nichts als Gegenleistung – und weil es um Kryptowährungen geht, gibt es üblicherweise auch keine Möglichkeit, das Geld zurückzubekommen.

Die Spiele der „Grand Theft Auto“-Reihe erfreuen sich großer Beliebtheit, es handelt sich um eines der größten Franchises überhaupt. „GTA 5“ aus dem Jahr 2013 wurde mehr als 225 Millionen Mal gekauft. Das Schüren eines Hypes etwa mit der Verkündung des Verkaufspreises fünf Monate vor dem eigentlichen Start sowie der ab heute möglichen Vorbestellung – in Europa sollen 80 Euro für die Kopie fällig werden – zieht daher jetzt auch Verbrecher an.

(dmk)

IBMs Entwickler haben im relationalen Datenbankmanagementsystem Db2 drei Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme nach erfolgreichen Attacken vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Von den folgenden Sicherheitslücken sind die Db2 Server Editions 11.5.0 bis 11.5.9 und 12.1.0 bis 12.1.4 bedroht. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 11.5.9 Build #84653 und 12.1.4 Build #86230 gelöst zu haben.

Drei Gefahren

Einer Warnmeldung zufolge gilt eine „kritische“ Schadcode-Lücke (CVE-2026-10109) als am gefährlichsten. Hier kommt es beim Aushandeln von Verbindungsparametern (Pre-Auth) mit einem Client im Kontext des Distributed-Relational-Database-Architecture-Protokolls (DRDA) zu Fehlern. Dabei kann es zur Ausführung von Schadcode aus der Ferne kommen.

In einem weiteren Fall (CVE-2026-11906 „mittel“) können Angreifer durch das Einfügen von bestimmten Elementen in von XMLTable abgeleiteten Spalten Speicherfehler auslösen, sodass es zu Abstürzen kommt. Über die dritte Schwachstelle (CVE-2025-36372 „mittel“) können Informationen leaken.

Zuletzt haben IBMs Entwickler im Februar dieses Jahres Root-Lücken in Db2 geschlossen.

(des)