Der Deutschland-Stack ist eines der größten Digitalisierungsvorhaben im schwarz-roten Koalitionsvertrag. Auch in ihrer Modernisierungsagenda beschreibt die Bundesregierung den D-Stack als entscheidende Technologie-Plattform, um die öffentliche Verwaltung zu digitalisieren.
Ein Technologie-Stack enthält in der Regel mehrere Komponenten, um Software zu entwickeln, zu betreiben und zu warten. Dazu gehören unter anderem Werkzeuge für die Entwicklung: Programmiersprachen, Datenbanken und Schnittstellen. Laut Agenda soll der Deutschland-Stack eine einheitliche IT-Infrastruktur bereitstellen, auf der die Verwaltung zum Beispiel Basisdienste betreibt, etwa Systeme, über die Wohngeld verrechnet wird oder das Begleichen von anfallenden Gebühren.
Allerdings ist weiterhin unklar, was den Stack im Detail ausmachen soll. Fest steht bislang nur: Die Zivilgesellschaft soll bei dem Thema offenbar nicht groß mitreden. Und auch das Thema Open Source kommt allenfalls am Rande vor. Profitieren könnten davon ausgerechnet die Tech-Konzerne, auch wenn deren Angebote die Anforderungen an die digitale Souveränität kaum erfüllen können.
Dass viele Fragen noch offen sind, zeigt auch der Konsultationsprozess zum Stack, den das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) organisierte. Bei dem Beteiligungsverfahren konnten Verbände, Organisationen, Unternehmen und Privatpersonen ihre Vorschläge und Anforderungen zu bestimmten Vorhaben einreichen. Die einzelnen Stellungnahmen und Rückmeldungen sind über die Plattform openCode öffentlich einsehbar – als ganze Konsultationsbeiträge von öffentlichen IT-Dienstleistern, Nicht-Regierungs-Organisationen und privaten Herstellern oder als Anregungen zu einzelnen Fragen. So wies der Verband Green Software auf die Umweltbelastung durch Software hin und Dirk Gernhardt vom IT-Referat München fragt: Sollten konkrete Produkte und Technologien in Vergabeverfahren verbindlich gefordert werden können, „liefert der Deutschland-Stack dafür den rechtlichen Rahmen“?
Parallel zu dem Verfahren fanden geschlossene Workshops mit ausgewählten Beteiligten statt. Thilak Mahendran von der Agora Digitale Transformation kritisiert (PDF), dass das BMDS weder die Teilnehmenden noch die Ergebnisse dieser Workshops bislang transparent gemacht hat. „Dies widerspricht dem Anspruch eines offenen Verfahrens.“ Auch habe das Ministerium die Zivilgesellschaft nicht aktiv in den Beteiligungsprozess einbezogen, so Mahendran gegenüber netzpolitik.org. Über Wochen habe das Stichwort „Zivilgesellschaft“ auf der Website zum D-Stack gefehlt.
Neben Mahendran war auch die ehemalige Bundestagsabgeordnete und Digitalaktivistin Anke Domscheit-Berg zu einem Workshop zum Thema Open Source eingeladen, den die Open Source Business Alliance (OSBA) auf eigene Initiative am 5. Dezember in den Räumlichkeiten des BMDS veranstaltete. Unter den Teilnehmenden waren Open-Source-Unternehmer*innen sowie Vertreter*innen aus Zivilgesellschaft, von Open-Source-Stiftungen, aus der Politik und von Behörden sowie zwei Vertreter*innen aus dem Digitalministerium.
Allerdings scheint das Ministerium diesem Workshop nicht allzu große Bedeutung beizumessen. Auf einer Konferenz des Hasso-Plattner-Instituts Anfang Dezember habe Staatssekretär Markus Richter davon gesprochen, dass der Beteiligungsprozess zum Deutschland-Stack abgeschlossen sei, erinnert sich Anke Domscheit-Berg gegenüber netzpolitik.org. „Da hatte der Workshop der OSBA noch gar nicht stattgefunden.“
Außerdem ist weiterhin offen, welche Dienste und Cloud-Angebote in den Stack aufgenommen werden und welche nicht. Dafür brauche es klare Vorgaben, einschließlich roter Linien, de Mindeststandards definieren müssen, so Domscheit-Berg. Bislang seien die vorgegebenen Kriterien aber nicht nur schwammig, unambitioniert und teils sogar kontraproduktiv für das Ziel digitaler Unabhängigkeit, sondern außerdem auch noch unverbindlich formuliert: „Durch das Fehlen einer Bewertung entlang der Kriterien ist kein Ausschluss vom Tech-Stack gegeben“, heißt es im entsprechenden Dokument.
Der überschaubare Kriterien-Katalog soll demnach nur einen Eindruck darüber vermitteln, ob und inwiefern die fragliche Technologie für den Stack etwa digital souverän, interoperabel und vertrauenswürdig ist.
Ob eine Software oder Cloud-Lösung digital souverän ist, lässt sich laut Katalog entlang von sechs Stufen kategorisieren. Die Mindestestufe 0 erfüllt ein Angebot nur dann, wenn es Nutzenden ermöglicht, „mit überschaubarem Aufwand“ zu einer „vergleichbaren Alternative“ zu wechseln. Können die Nutzenden Einfluss darauf nehmen, wo Daten gespeichert werden, sei die Lösung zu 20 Prozent digital souverän (Stufe 1). Erlaubt das Angebot es darüber hinaus, Einfluss „auf den Anbieter oder zur aktiven Teilnahme an der Community“ zu nehmen, sei sie zu 40 Prozent digital souverän. Die höchste Stufe 5 erreicht eine Lösung, wenn sie „die Möglichkeiten zum vollumfänglichen Einfluss“ beinhaltet. Der Kriterien-Katalog schweigt sich darüber aus, worin diese Möglichkeiten bestehen.
Ohne eine klare Zielvorstellung davon, was digitale Souveränität „im Kontext des Deutschland-Stacks konkret bedeutet“, könne das Kriterium jedoch nicht „zweckdienlich“ umgesetzt werden, hält eco, der Verband für Internetwirtschaft, in seiner Stellungnahme zum Deutschland-Stack (PDF) fest. Dabei sei grundsätzlich fraglich, ob digitale Souveränität den anderen Kriterien gleichgestellt sein sollte.
Die öffentliche Vergabe an sogenannte Hyperscaler, die große Rechenzentren und eine flexible Skalierung etwa von Cloud-Diensten anbieten. reguliert der Katalog nicht. Dabei wird digitale Souveränität in der Regel auch als technologische Unabhängigkeit von Big Tech verstanden. Ebensowenig räumt Stack offener Software verbindlich Vorrang ein, wie es etwa das E-Government-Gesetz des Bundes (EGovG) tut.
Das EGovG regelt die rechtlichen Rahmenbedingungen für die Digitalisierung der Bundesverwaltung. Dort heißt es konkret: „Die Behörden des Bundes sollen offene Standards nutzen und bei neu anzuschaffender Software Open-Source-Software vorrangig vor solcher Software beschaffen, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“
Dennoch gebe es immer wieder Ausschreibungen explizit für Hyperscaler, so Domscheit-Berg. Ein Beispiel dafür sei die aktuelle Ausschreibung des Bundesministeriums für Wirtschaft und Energie für Clouddienste von Amazon, die beim Betrieb der deutschen Forschungszentrale zum Einsatz kommen sollen. Der Deutschland-Stack müsse so etwas künftig verhindern. Andernfalls riskiere man, dass sich Konzerne wie Microsoft, Amazon und Google im Stack fest einrichten und sich so die technologische Abhängigkeit von ihnen verfestigt. „Wenn man den Deutschland-Stack abschalten kann, zwingt man die öffentliche Verwaltung in die Knie“, warnt Domscheit-Berg.
Das Digitalministerium will die Angebote der Tech-Konzerne für den Deutschland-Stack aber offenbar nutzen. Heiko Hartenstein, Referent und Leiter Architekturmanagement Dienstekonsolidierung im Digitalministerium, räumt dem Kriterium der Marktrelevanz klar Vorrang ein. Das Ministerium verfolge das Ziel, „möglichst schnell und einfach digitale Angebote zu schaffen“. Dabei gehe es darum, „das abzuholen, was schnell verfügbar ist“, so Hartenstein beim Workshop der OSBA. Gerade Hyperscaler könnten hier punkten.
Das Digitalministerium will nun bis Mitte Februar die Ergebnisse der Konsultation und der Workshops auswerten und das Konzept des Deutschland-Stacks überarbeiten. Spätestens dann wird sich wohl zeigen, ob sich das Ministerium die Kritikpunkte aus dem Workshop zu Open Source zu Herzen nimmt oder nicht.
Gute Nachrichten zuerst: Im Kampf gegen den massiven Betrug beim Deutschlandticket bewegt sich etwas. Wie die Sicherheitsforscher Q Misell und Maya „551724“ Boeckh in ihrem Vortrag „All my Deutschlandtickets gone“ auf dem 39. Chaos Communication Congress (39C3) berichteten, nutzen inzwischen diverse Verkehrsunternehmen eine zentrale Sperrliste für sogenannte UIC-Tickets des Deutschlandtarifverbund (DTVG). Dabei handelt es sich um elektronische oder ausgedruckte Zugtickets, bei denen die Fahrkartendaten in einem 2D-Barcode nach dem Standard des UIC (Union internationale des chemins de fer) kodiert werden, der sich im Vorfeld als besonders leicht zu fälschen erwiesen hatte.
Weiterlesen nach der Anzeige
Die Deutsche Bahn führt derzeit 98 Prozent aller Abfragen dieser Sperrliste durch. Hinzu kommen laut den Vortragsfolien die bConn GmbH, deren System die Magdeburger Verkehrsbetriebe, Autobus Oberbayern, das Busunternehmen Lehner und die Harzer Schmalspurbahnen nutzen. Über die AMCON GmbH sind Transdev, die Nahverkehrsgesellschaft Hochstift, Elbe-Weser, VGE ZOB, der Landkreis Würzburg sowie die Unternehmen Kalmer und Veelker angebunden. Auch INSA nutzt die Sperrliste für die PVGS Altmarkkreis Salzwedel. Zudem arbeite die Branche an einer zentralen Ausstellung von UIC-Deutschlandtickets, um künftige Sicherheitslücken zu schließen.
Inzwischen nutzen zahlreiche Verkehrsunternehmen und -verbände die zentrale Sperrliste für UIC-Tickets der DTVG – aber noch längst nicht alle.
(Bild: Q Misell, Maya Boekh)
Doch der Weg dorthin war lang – und der Vortrag dokumentiert ein erschreckendes Ausmaß an Versäumnissen. Er fasst viele der Betrugsfälle zusammen, welche die Sicherheitsforschenden Q Misell und Flüpke zusammen mit heise online Anfang des Jahres öffentlich gemacht hatten. Es lohnt sich aber auch jeden Fall, die Aufzeichnung des Talks anzuschauen, weil Q und Maya die gesamte Geschichte sehr unterhaltsam aufgerollt haben.
Den größten Schaden verursacht der sogenannte Dreiecksbetrug: Kriminelle kaufen mit gestohlenen Bankdaten echte Tickets bei Verkehrsverbünden und verkaufen diese über Telegram-Kanäle weiter. Wie Q Misell im Februar aufdeckte, boten zahlreiche illegale Shops Deutschlandtickets für 5 bis 30 Euro an.
Das Grundproblem: Viele Verkehrsunternehmen stellen Tickets sofort aus, bevor die SEPA-Lastschrift vollständig verarbeitet ist. Eine Validierung der Kontodaten findet oft nicht statt. Der Gesamtschaden durch alle Betrugsarten belief sich auf bis zu 267 Millionen Euro allein für den Zeitraum Januar bis Oktober 2024. Insgesamt dürfte bis dato sogar bis zu einer halben Milliarde Euro an entgangenen Ticketeinnahmen aufgelaufen sein.
Besonders dreist waren die Betreiber des illegalen Ticketshops d-ticket.su. Dieser hatte monatelang Deutschlandtickets verkauft, die mit einem offenbar entwendeten kryptografischen Schlüssel der Vetter Verkehrsbetriebe signiert waren. Die Deutsche Bahn fand bei einer nachträglichen Prüfung rund 50.000 solcher Tickets in ihren Kontrollprotokollen – was einem Mindestschaden von 2,9 Millionen Euro entspricht. Die tatsächliche Summe dürfte deutlich höher liegen, da nicht alle Tickets bei der DB kontrolliert werden.
Weiterlesen nach der Anzeige
Wie der Schlüssel in falsche Hände geriet, ist bis heute ungeklärt. Die Forscher präsentierten mehrere mögliche Szenarien: von kryptografischen Schwächen des verwendeten DSA-1024-Verfahrens mit SHA-1 über klassischen Diebstahl bis zu schlichter Nachlässigkeit – etwa einem öffentlich zugänglichen Schlüssel. Besonders brisant: Der Technologiepartner mo.pla, ein Münchner Startup, hatte bei einer Firmenübernahme offenbar auch alte Schlüssel von Vetter übernommen. Ob diese dabei „verloren gingen“, bleibt Spekulation. Nachdem Vetter in der Vergangenheit engere Zusammenarbeit mit mo.pla bestritten hatte, hat Q Misell etwas gegraben und nachvollziehbare Verbindungen gefunden.
Besonders kritisch bewerteten Q und Maya in ihrem Talk die Sicherheitspraktiken des Technologiepartners mo.pla. Sie dokumentierten eine Schwachstelle im PayPal-Zahlungsprozess, die es ermöglichte, mit einem leeren PayPal-Konto Tickets zu erwerben. Der Fehler sei inzwischen behoben. Bezeichnend: Code von mo.pla-Entwicklern fand sich auf Stack Overflow – „typischer Startup-Code“, hieß es in dem Vortrag.
Zudem weigere sich mo.pla, am branchenweiten Sperrsystem teilzunehmen, und habe stattdessen ein eigenes Revokationssystem etabliert. Das bedeutet zusätzlichen Integrationsaufwand für alle Unternehmen, die mo.pla-Tickets kontrollieren wollen.
Obwohl die DTVG bereits im Dezember 2024 von dem Missbrauch durch d-ticket.su wusste, wurde der kompromittierte Schlüssel erst Anfang Februar 2025 gesperrt. Die Begründung war bezeichnend: „Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht.“
Auf Nachfrage von heise online hatte Vetter damals behauptet, man tausche Schlüssel inzwischen „regelmäßig“ aus. Die Forscher widerlegten dies im Vortrag: Ein aktuell gekauftes Vetter-Ticket werde weiterhin mit demselben Schlüssel signiert wie im März.
Erst nachdem das Ausmaß des Betrugs und die Untätigkeit der Verantwortlichen publik wurden, bewegte sich die Branche. Interne Protokolle hatten belegt, dass den Entscheidungsträgern die Probleme seit Anfang 2024 bekannt waren – konkrete Gegenmaßnahmen aber an Partikularinteressen und gescheiterten Abstimmungen scheiterten.
Im Mai 2025 einigten sich die Verkehrsunternehmen schließlich auf verbindliche Sicherheitsmaßnahmen. Dazu gehören eine verpflichtende Bankkontoverifizierung, zentrale Sperrlisten, sichere Schlüsselverwaltung in Trustcentern und ab 2026 kopiergeschützte Handytickets. Seit Oktober 2025 sollten eigentlich nur noch Tickets gültig sein, welche die neuen Standards erfüllen. Dieses Ziel ist bisher nur in Teilen erreicht worden.
Immerhin ist die Finanzierung des Deutschlandtickets inzwischen bis 2030 gesichert. Der Preis steigt allerdings zum Jahreswechsel auf 63 Euro. Ob die nun beschlossenen Sicherheitsmaßnahmen den Betrug tatsächlich eindämmen können, wird sich zeigen. Die Forscher bedankten sich am Ende ihres Vortrags bei den Mitarbeitern der DTVG und der Deutschen Bahn, die bei der Aufklärung geholfen hatten – und machten deutlich, dass ohne externen Druck wohl wenig passiert wäre.
(vza)
Liebe Leser:innen,
ich hoffe, ihr hattet schöne und erholsame Weihnachtsfeiertage – ganz egal, ob ihr sie im großen Zu- und Angehörigenkreis verbracht habt, oder ungestört mit Fuchs und Hase in einer einsamen Hütte.
Der verlangtermaßen besinnlichen Weihnachtszeit folgen regelmäßig die Vorbereitungen auf einen lauteren Jahreswechsel mit Knallen und Tösen. Und im Fall vieler Team-Mitglieder auch ein Besuch auf dem Chaos Communication Congress in Hamburg, der heute beginnt.
Die Vorträge könnt ihr auch vom heimischen Sofa aus verfolgen, aber ich freue mich jedes Jahr darauf, auch physisch vor Ort zu sein. Ich bin schon gespannt, wie die vielen Helfenden auch dieses Jahr wieder ein gradliniges Kongresszentrum in einen bunten, magischen Nerdtraum verwandelt haben.
Aber es sind vor allem die Begegnungen mit alten und neuen Bekannten, wegen derer ich mich aus der Jahresend-Plätzchen-Lethargie zu lösen gewillt bin und lieber in neuen Eindrücken bade als dem bewährten Fichtennadel-Badeöl. Es kommen dort Menschen aus ganz unterschiedlichen Ecken der digitalen und analogen Welt zusammen und sie alle haben spannende Gedanken und Geschichten zu teilen. Oft gehe ich dann mit dutzenden Ideen für neue Recherchen nach Hause, die den Beginn einer langen To-do-Liste fürs nächste Jahr darstellen.
Ich bin sicher, auch dieses Mal werden am Ende mehr Ideen als Tage im neuen Jahr auf der Liste landen. Was muss sich eurer Meinung nach im nächsten Jahr unbedingt jemand anschauen? Welche Themen gehen bei uns und anderswo viel zu sehr unter? Was habt ihr euch schon immer gefragt?
Wenn ihr eure Fragen und Ideen teilen wollt, freue ich mich auf eure Rückmeldung. In den Kommentaren, per Mail oder in den nächsten Tagen bei einer Mate auf dem 39C3.
Kommt gut durch die letzten Tage des Jahres!
anna
PS: Um unsere Arbeit zu finanzieren, fehlen uns dieses Jahr noch knapp 99.000 Euro. Falls ihr uns unterstützen wollt, könnt ihr das hier tun.
Seit einiger Zeit brodelt es in der Gerüchteküche, weil Samsung-Smartphones offenbar keine Google-Play-Dienstupdates mehr erhalten. Spekulationen über die Gründe gibt es reichlich. heise online hat bei Samsung nachgefragt – und nun hat der Hersteller das beobachtete Phänomen erklärt.
Weiterlesen nach der Anzeige
Samsung sagte gegenüber heise online: „Bei der Einführung neuer Geräte oder größerer One UI-Updates spielt Samsung ausschließlich Software aus, die das Unternehmen verifiziert hat. Samsung hat die Verteilung von Google-Updates vorübergehend ausgesetzt, um mögliche Probleme zu vermeiden.“ Es sei derzeit geplant, „das Google-Update im Januar 2026 aufzunehmen.“
Es handelt sich demnach um eine bewusste Entscheidung und um einen kontrollierten Vorgang. Aus IT-Sicherheitssicht stellt das anscheinend kein Problem dar, andernfalls würde Samsung die Aktualisierungen von Google sicherlich verteilen. Das Unternehmen achtet bei den Galaxy-Smart-Devices sehr auf die Gerätesicherheit, da diese der Grund dafür ist, dass die Geräte auch im Business-Umfeld häufig eingesetzt werden.
Smartphones mit Android-Betriebssystem erhalten allgemein mehrere Aktualisierungen, bei Samsung die größeren Systemupdates etwa ein- bis zweimal im Jahr. Dazu die inzwischen nur noch quartalsweise bereitgestellten Sicherheitsaktualisierungen von Google für Android. Für die zeichnen die Gerätehersteller selbst verantwortlich. Unabhängig davon gibt es schließlich die Google-Play-Updates, die Google selbst eigentlich monatlich bereitstellt und verteilt.
Besitzer von Samsung-Smartphones haben zuletzt häufiger beobachtet, dass zum Beispiel das Android-Systemupdate auf ihrem Gerät angeboten wurde und damit der Sicherheitslevel auf dem aktuellen Stand 1. Dezember 2025 landet. Jedoch verharrt die Google-Play-Systemupdate-Fassung beispielsweise auf dem Stand 1. Juli 2025, 1. August 2025 oder 1. September 2025 und führt damit zu Irritationen.
Gerüchte zu den Gründen sind mit der offiziellen Stellungnahme hinfällig. Samsung-Gerätebesitzer müssen sich offenbar keine Sorgen machen, da das Unternehmen dieses Verhalten bewusst hervorruft und dabei die (Sicherheits-)Lage im Blick hat.
Weiterlesen nach der Anzeige
(dmk)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
