Der Deutschland-Stack ist eines der größten Digitalisierungsvorhaben im schwarz-roten Koalitionsvertrag. Auch in ihrer Modernisierungsagenda beschreibt die Bundesregierung den D-Stack als entscheidende Technologie-Plattform, um die öffentliche Verwaltung zu digitalisieren.
Ein Technologie-Stack enthält in der Regel mehrere Komponenten, um Software zu entwickeln, zu betreiben und zu warten. Dazu gehören unter anderem Werkzeuge für die Entwicklung: Programmiersprachen, Datenbanken und Schnittstellen. Laut Agenda soll der Deutschland-Stack eine einheitliche IT-Infrastruktur bereitstellen, auf der die Verwaltung zum Beispiel Basisdienste betreibt, etwa Systeme, über die Wohngeld verrechnet wird oder das Begleichen von anfallenden Gebühren.
Allerdings ist weiterhin unklar, was den Stack im Detail ausmachen soll. Fest steht bislang nur: Die Zivilgesellschaft soll bei dem Thema offenbar nicht groß mitreden. Und auch das Thema Open Source kommt allenfalls am Rande vor. Profitieren könnten davon ausgerechnet die Tech-Konzerne, auch wenn deren Angebote die Anforderungen an die digitale Souveränität kaum erfüllen können.
Dass viele Fragen noch offen sind, zeigt auch der Konsultationsprozess zum Stack, den das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) organisierte. Bei dem Beteiligungsverfahren konnten Verbände, Organisationen, Unternehmen und Privatpersonen ihre Vorschläge und Anforderungen zu bestimmten Vorhaben einreichen. Die einzelnen Stellungnahmen und Rückmeldungen sind über die Plattform openCode öffentlich einsehbar – als ganze Konsultationsbeiträge von öffentlichen IT-Dienstleistern, Nicht-Regierungs-Organisationen und privaten Herstellern oder als Anregungen zu einzelnen Fragen. So wies der Verband Green Software auf die Umweltbelastung durch Software hin und Dirk Gernhardt vom IT-Referat München fragt: Sollten konkrete Produkte und Technologien in Vergabeverfahren verbindlich gefordert werden können, „liefert der Deutschland-Stack dafür den rechtlichen Rahmen“?
Parallel zu dem Verfahren fanden geschlossene Workshops mit ausgewählten Beteiligten statt. Thilak Mahendran von der Agora Digitale Transformation kritisiert (PDF), dass das BMDS weder die Teilnehmenden noch die Ergebnisse dieser Workshops bislang transparent gemacht hat. „Dies widerspricht dem Anspruch eines offenen Verfahrens.“ Auch habe das Ministerium die Zivilgesellschaft nicht aktiv in den Beteiligungsprozess einbezogen, so Mahendran gegenüber netzpolitik.org. Über Wochen habe das Stichwort „Zivilgesellschaft“ auf der Website zum D-Stack gefehlt.
Neben Mahendran war auch die ehemalige Bundestagsabgeordnete und Digitalaktivistin Anke Domscheit-Berg zu einem Workshop zum Thema Open Source eingeladen, den die Open Source Business Alliance (OSBA) auf eigene Initiative am 5. Dezember in den Räumlichkeiten des BMDS veranstaltete. Unter den Teilnehmenden waren Open-Source-Unternehmer*innen sowie Vertreter*innen aus Zivilgesellschaft, von Open-Source-Stiftungen, aus der Politik und von Behörden sowie zwei Vertreter*innen aus dem Digitalministerium.
Allerdings scheint das Ministerium diesem Workshop nicht allzu große Bedeutung beizumessen. Auf einer Konferenz des Hasso-Plattner-Instituts Anfang Dezember habe Staatssekretär Markus Richter davon gesprochen, dass der Beteiligungsprozess zum Deutschland-Stack abgeschlossen sei, erinnert sich Anke Domscheit-Berg gegenüber netzpolitik.org. „Da hatte der Workshop der OSBA noch gar nicht stattgefunden.“
Außerdem ist weiterhin offen, welche Dienste und Cloud-Angebote in den Stack aufgenommen werden und welche nicht. Dafür brauche es klare Vorgaben, einschließlich roter Linien, de Mindeststandards definieren müssen, so Domscheit-Berg. Bislang seien die vorgegebenen Kriterien aber nicht nur schwammig, unambitioniert und teils sogar kontraproduktiv für das Ziel digitaler Unabhängigkeit, sondern außerdem auch noch unverbindlich formuliert: „Durch das Fehlen einer Bewertung entlang der Kriterien ist kein Ausschluss vom Tech-Stack gegeben“, heißt es im entsprechenden Dokument.
Der überschaubare Kriterien-Katalog soll demnach nur einen Eindruck darüber vermitteln, ob und inwiefern die fragliche Technologie für den Stack etwa digital souverän, interoperabel und vertrauenswürdig ist.
Ob eine Software oder Cloud-Lösung digital souverän ist, lässt sich laut Katalog entlang von sechs Stufen kategorisieren. Die Mindestestufe 0 erfüllt ein Angebot nur dann, wenn es Nutzenden ermöglicht, „mit überschaubarem Aufwand“ zu einer „vergleichbaren Alternative“ zu wechseln. Können die Nutzenden Einfluss darauf nehmen, wo Daten gespeichert werden, sei die Lösung zu 20 Prozent digital souverän (Stufe 1). Erlaubt das Angebot es darüber hinaus, Einfluss „auf den Anbieter oder zur aktiven Teilnahme an der Community“ zu nehmen, sei sie zu 40 Prozent digital souverän. Die höchste Stufe 5 erreicht eine Lösung, wenn sie „die Möglichkeiten zum vollumfänglichen Einfluss“ beinhaltet. Der Kriterien-Katalog schweigt sich darüber aus, worin diese Möglichkeiten bestehen.
Ohne eine klare Zielvorstellung davon, was digitale Souveränität „im Kontext des Deutschland-Stacks konkret bedeutet“, könne das Kriterium jedoch nicht „zweckdienlich“ umgesetzt werden, hält eco, der Verband für Internetwirtschaft, in seiner Stellungnahme zum Deutschland-Stack (PDF) fest. Dabei sei grundsätzlich fraglich, ob digitale Souveränität den anderen Kriterien gleichgestellt sein sollte.
Die öffentliche Vergabe an sogenannte Hyperscaler, die große Rechenzentren und eine flexible Skalierung etwa von Cloud-Diensten anbieten. reguliert der Katalog nicht. Dabei wird digitale Souveränität in der Regel auch als technologische Unabhängigkeit von Big Tech verstanden. Ebensowenig räumt Stack offener Software verbindlich Vorrang ein, wie es etwa das E-Government-Gesetz des Bundes (EGovG) tut.
Das EGovG regelt die rechtlichen Rahmenbedingungen für die Digitalisierung der Bundesverwaltung. Dort heißt es konkret: „Die Behörden des Bundes sollen offene Standards nutzen und bei neu anzuschaffender Software Open-Source-Software vorrangig vor solcher Software beschaffen, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“
Dennoch gebe es immer wieder Ausschreibungen explizit für Hyperscaler, so Domscheit-Berg. Ein Beispiel dafür sei die aktuelle Ausschreibung des Bundesministeriums für Wirtschaft und Energie für Clouddienste von Amazon, die beim Betrieb der deutschen Forschungszentrale zum Einsatz kommen sollen. Der Deutschland-Stack müsse so etwas künftig verhindern. Andernfalls riskiere man, dass sich Konzerne wie Microsoft, Amazon und Google im Stack fest einrichten und sich so die technologische Abhängigkeit von ihnen verfestigt. „Wenn man den Deutschland-Stack abschalten kann, zwingt man die öffentliche Verwaltung in die Knie“, warnt Domscheit-Berg.
Das Digitalministerium will die Angebote der Tech-Konzerne für den Deutschland-Stack aber offenbar nutzen. Heiko Hartenstein, Referent und Leiter Architekturmanagement Dienstekonsolidierung im Digitalministerium, räumt dem Kriterium der Marktrelevanz klar Vorrang ein. Das Ministerium verfolge das Ziel, „möglichst schnell und einfach digitale Angebote zu schaffen“. Dabei gehe es darum, „das abzuholen, was schnell verfügbar ist“, so Hartenstein beim Workshop der OSBA. Gerade Hyperscaler könnten hier punkten.
Das Digitalministerium will nun bis Mitte Februar die Ergebnisse der Konsultation und der Workshops auswerten und das Konzept des Deutschland-Stacks überarbeiten. Spätestens dann wird sich wohl zeigen, ob sich das Ministerium die Kritikpunkte aus dem Workshop zu Open Source zu Herzen nimmt oder nicht.
Im Jahr 2020 veröffentlicht der britische TV-Sender Channel 4 eine sonderbare Weihnachtsansprache. Zu sehen ist eine Person, die man auf den ersten Blick für die (inzwischen verstorbene) Königin Elisabeth II. halten muss. Nur ihre Worte klingen zunehmend weniger royal. Schließlich besteigt die vermeintliche Queen ihren Schreibtisch und legt unter Konfetti-Regen einen TikTok-Tanz hin.
Die Auflösung der Szene zeigt Channel 4 direkt im Anschluss: Die mit vergoldetem Stuck verzierten Wände weichen einem Greenscreen. Statt der Königin kommt eine Darstellerin zum Vorschein. Schon damals nannte man die eingesetzte Tricktechnik „Deepfake“. Es geht um synthetische Darstellungen, die täuschend echt aussehen. Heute kann jeder Mensch mit öffentlichen Online-Werkzeugen solche und noch aufwendigere Inhalte selbst erstellen. Möglich machen es Bild- und Videogeneratoren, die viele als KI bezeichnen.
Die Weihnachtsansprache der falschen Queen ist nur ein Beispiel aus einem lesenswerten Bericht über die Gefahren und Potenziale von Deepfakes, den Forschende im Auftrag des Bundestags erstellt haben. Das im Januar veröffentlichte Papier kommt aus dem Büro für Technikfolgen-Abschätzung. Es berät das Parlament in Fragen von Wissenschaft und Technik mit nach eigener Aussage unparteiischen Analysen.
Auf 46 Seiten buchstabieren die Forschenden aus, was mit Deepfakes alles möglich ist; wo sie Schaden anrichten oder Gutes bewirken können. Teils sehen die Forschenden Bedarf für strengere Regulierung, teils machen sie aber auch klar: Mit Gesetzen allein kommt man nicht weiter. Die Zusammenfassung.
Deepfakes können „sowohl für böswillige als auch für wohlmeinende Zwecke angewendet werden“, schreiben die Forschenden. Mindestens vier konkrete Risiken lassen sich aus dem Bericht zusammenfassen.
Deepfakes sind ambivalent. Mindestens fünf Einsatzmöglichkeiten beschreiben die Forschenden in ihrem Bericht als positiv, einige aber mit ethischen Bedenken.
Das eine Anti-Deepfake-Gesetz gibt es nicht, stattdessen aber ein Bündel an Regulierungen je nach Art des Deepfakes. Teils unterscheiden sich die Vorschriften in Deutschland, Europa und anderen Ländern der Welt.
Das Wort „Lücken“ taucht im Bericht insgesamt acht Mal auf. Die Forschenden machen aber auch klar, dass die gestückelte Regulierung von Deepfakes einen tieferen Sinn hat: Das deutsche Rechtssystem ist nämlich technologieneutral. Das heißt, es orientiert sich nicht an bestimmten Technologien wie Deepfakes, sondern an Rechtsgütern wie Datenschutz, Ehre oder dem Recht am eigenen Bild.
Manches wiederum lässt sich nicht mit Gesetzen lösen. Das zeigen zumindest einige der offenen Baustellen, die aus dem Bericht hervorgehen.
Die Linux-Distribution Tails, die zum anonymen Surfen im Netz dient, ist in Version 7.5 erschienen. Auffälligste Neuerung ist die Auslagerung des Mailprogramms Thunderbird in ein externes Paket. Das dient der besseren Sicherheit.
Weiterlesen nach der Anzeige
Das schreiben die Tails-Maintainer in der Versionsankündigung zu Fassung 7.5 der anonymisierenden Linux-Distribution. Zentrale Softwarepakete bringen die Programmierer damit auf den aktuellen Stand. So ist der Tor-Browser nun in Version 15.0.7 dabei, der Tor-Client hingegen auf Stand 0.4.9.5.
Thunderbird kommt zwar in der Fassung 140.7.1 mit, allerdings installiert Tails den Mail-Client nun als Zusatzsoftware, um seine Sicherheit zu verbessern. Dazu müssen die Features „Thunderbird Email Client“ und „Zusätzliche Software“ beim persistenten Speicher aktiviert sein. Dadurch installiert Tails bei jedem Start den Thunderbird neu aus dem persistenten Speicher. Als Grund nennen die Entwickler, dass Mozilla stets neue Thunderbird-Versionen veröffentlicht hat, nur wenige Tage nach dem Release neuer Tails-Versionen. Dadurch war Thunderbird fast ständig nicht mehr aktuell und enthielt bekannte Sicherheitslücken.
Das Problem löst das stets aktuelle Installationspaket im persistenten Speicher. Nach der Installation zeigt Tails einen Dialog mit dem Titel „Thunderbird Migration“ an. Dort findet sich auch der Hinweis, dass Thunderbird mit Tails 7.8, das im Mai 2026 erwartet wird, nicht mehr länger als Standard-Software mitgeliefert wird.
Wie üblich stellt das Tails-Projekt einmal Abbilder zum Verfrachten der Distribution auf USB-Sticks und einmal ISO-Images zum Brennen auf DVD oder Testen in virtuellen Maschinen bereit. Mit solch einem USB-Stick oder einer DVD lassen sich etwa fremde Rechner starten, sodass darauf eine vertrauenswürdige Umgebung zum Surfen im Netz läuft. Mit dem persistenten Speicherbereich auf dem Stick lassen sich dann auch Daten mitnehmen, die Neustarts überdauern.
Weiterlesen nach der Anzeige
Mitte Februar haben die Tails-Entwickler die Version 7.4.2 als Notfall-Update herausgegeben. Darin haben sie insbesondere den Linux-Kernel aktualisiert, wodurch mehr als hundert Schwachstellen darin ausgebessert wurden. Die hätten Angreifer in Kombination mit anderen Sicherheitslücken etwa zur Deanonymisierung von Nutzern und Nutzerinnen missbrauchen können.
Siehe auch:
(dmk)
Die EU-Gesetzgeber sollen in den Trilog-Verhandlungen zur CSA-Verordnung vollständig und endgültig auf eine Chatkontrolle verzichten. Das fordern die unabhängigen Datenschutzbehörden aus Bund und Ländern.
Die Datenschutzkonferenz appelliert in einer Stellungnahme (PDF) an die Verhandelnden, von der Massenüberwachung privater Chats per Aufdeckungsanordnungen, dem flächendeckenden Scannen privater Nachrichten und einem Durchbrechen der Ende-zu-Ende-Verschlüsselung ohne Ausnahme abzusehen.
„Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Bürgerinnen und Bürgern und könnten auch von Kriminellen ausgenutzt werden“, so die Datenschützer:innen. Zu den Gefahren für eine Ende-zu-Ende-Verschlüsselung zählen die Datenschützer auch das Client-Side-Scanning, bei dem Inhalte vor dem Verschlüsseln auf dem Endgerät durchsucht werden.
Generell dürfe eine Überwachung privater Kommunikation nur gezielt und bei einem konkreten Verdacht zum Einsatz kommen, so die Datenschutzkonferenz. Auch ein Ziel wie die Verhinderung und Verfolgung von sexuellem Missbrauch von Kindern rechtfertige keinen Generalverdacht gegen Millionen von Bürger:innen. Die Aufsichtsbehörden begründen dies unter anderem mit dem Recht auf Vertraulichkeit der Kommunikation und dem Recht auf informationelle Selbstbestimmung.
Ein Großteil der Trilog-Verhandlungen passiert auf Arbeitsebene. Gestern fand die zweite Verhandlung auf politischer Ebene statt. Laut Tagesspiegel Background Digitalisierung (€) haben sich Rat und Parlament „vorläufig auf eine Reihe politisch sensibler Fragen geeinigt“, die Informationen sind aber vage. Bisher ging es vor allem um das EU-Zentrum gegen Kindesmissbrauch, nicht direkt um die Chatkontrolle. Die dritten politischen Trilog-Verhandlungen sind für den 11. Mai angesetzt.
Der Trilog ist im EU-Gesetzgebungsverfahren der Abschnitt, in dem EU-Kommission, EU-Parlament und der Rat ihre vorher gefundenen Positionen zusammen verhandeln und eine finale Version des Gesetzestextes erarbeiten, die dann später dem Europaparlament zur Abstimmung gegeben wird. Der Trilog ist erfahrungsgemäß eine intransparente Phase des Gesetzgebungsprozesses, in dem noch viel passieren kann. Wer im Trilog, welche Verhandlungspositionen vertritt und was die strittigen Punkte sind, haben wir in diesem Erklär-Artikel beschrieben.
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Community Management zwischen Reichweite und Verantwortung
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Top 10: Die beste kabellose Überwachungskamera im Test – Akku, WLAN, LTE & Solar
Game Over: JetBrains beendet Fleet und startet mit KI‑Plattform neu
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
