Technischer Datenschutz + Open Source beim BfDI

Warum setzt das BfDI noch nicht vollständig auf Linux Systeme auch für seine Mitarbeiter (Desktop)?
Da auch in Behörden mehr Open Source zum tragen kommen soll, würde das BfDI doch hier mit gutem Beispiel voran gehen, also z. B. Jitsi Meet, BBB, XMPP/Matrix/Rocketchat (etc.) oder freie Verwaltungssoftware?

Zu wann ist das geplant?

3 Likes

Ich arbeite zwar nicht für den BfDI aber als langjähriger IT-Koordinator einer Kommune möchte ich die Sachlage mal erklären. Selbstverständlich würden “wir” gern mehr OpenSource einsetzen. Dafür sprechen neben der Transparenz auch die Möglichkeit der Änderung des Quellcodes und auch natürlich die Anschaffungskosten.

Dagegen spricht, dass sehr viel Anwendungssoftware für Behörden in einem recht kleinen Marktsegment entsteht. Wir reden hier im Kommunalbereich von vielleicht bundesweit dreißig Firmen für den gesamten Markt. Das ist wenig und die meisten sind kleine Firmen, die nicht die Kosten aufbringen können, eine neue Version ihrer Software für Linux herauszubringen, nachdem sie 25 Jahre lang die Windows-Version entwickelt haben.

Das gilt auch für Standard-Software für Texte, Tabellen und Datenbanken. Die sind leider wenig kompatibel mit der Fachanwendung aus den genannten Gründen.

Es ist also kein böser Wille sondern schlicht die Marktlage, die Behörden dazu zwingt, proprietäre Software anzuwenden. Gerade als Linux-freundlicher IT-Leiter habe ich fast nichts unversucht gelassen, um mehr Open-Source-Software einzusetzen. Leider hat es bisher nicht geklappt.

Privat setze ich schon seit den Neunziger Jahren Linux und Open-Office ein.

Frank Werner

3 Likes

Ich möchte anmerken dass der BfDI schon erste gute Schritte (Mastodon, dieses Forum) in Richtung OpenSource gewagt hat und hoffe dass sich dieser Trend fortsetzen wird.

Ich kann mir vorstellen, dass sich dieses Problem mit neuen Ausschreibungsregeln, in denen man freie Software fordert, lösen lässt. Ja, es ist richtig dass kleine Firmen nicht einfach ihr Software unter freie Lizenz setzen wollen oder können, aber ich denke dass es langfristig gesehen die bessere Option ist. Zu warten bis die Firmen 40 Jahre lang proprietäre Windows-Software programmieren macht es, so wie ich das sehe, auch nicht besser. Ich denke dass man für einen Wechsel auf freie Software am Anfang ein bisschen mehr finanzielle Starthilfe geben könnte. Denn wenn der Staat freie Software einkauft, dann haben alle was davon.

Ein paar Vorteile präsentiert auch die zivilgesellschaftliche Initiative “Public Money Public Code”, Details dazu gibt es in der zugehörigen Broschüre.

Dass freie Software für die Verwaltung generell möglich ist, zeigt z.B. das Projekt LiMux aus München. Ich finde es auch großartig, dass die Corona Warn App (CWA) als freie Software entwickelt wurde, hoffentlich kommen die Vorteile von solchen Projekten möglichst schnell in der Verwaltung an. Der BfDI hatte sich letztes Jahr zum Start der CWA geäußert. Als ich das Pressearchiv nach Meldungen zur CWA durchsucht hat ist mir auch der Vortrag “Open Source als Vertrauensanker” (Text zum Vortrag) ins Auge gefallen, das möchte gerne auch hier verlinken, da sich der BfDI hier auch sehr positiv über freie Software äußert.

Ich find schade das zu lesen und hoffe, dass sich deine Behörde bald für einen vernünftigeren Weg mit freier Software entscheiden wird.

Die gute Nachricht ist, dass die Kommunen auch immer mehr auf mobile Geräte setzen und der PC nach und nach weniger Bedeutung erfahren wird. Die schlechte Nachricht ist, dass dort Apple-Geräte die absolute Oberhand haben. Also auch hier kein Open-Source.

Auch das ist ein Problem, welches sich lösen lässt. Ich hege grade besonders viel Hoffnung, da mir mittlerweile zwei beeindruckende Projekte (CalyxOS und GrapheneOS) bekannt sind die auf dem Android Open Source Project (AOSP) basieren und echte freie Software ohne proprietäre Apps darstellen (ich persönlich bin mit GrapheneOS glücklich).

Mir ging es mit meinem Anliegen jedoch um die “internen” Systeme, nicht die externen also für die Mitarbeiter und die Menschen, die sich mit Fragen und Beschwerden an das BfDI richten.

Also das mit Marktlage ist kein Argument, sehr viele Europäische Länder (Niederlande, Spanien etc.) haben in Behörden großflächig oder vollständigen Open Source Einsatz. LiMux ist auch nur gescheitert wg. dem Wechsel der Geschäftsführung (ich glaube das war damals der Grund), die dann doch gute Partnerverhältnisse zu Microsoft hatte.

Allgemein driftet mir das alles schon wieder zu weit von meiner Frage weg.

Zudem kommt, dass bei den Antworten alles irgendwie in einen Topf geworfen wird. Nicht immer ist Open Source sicher und auch mobile Geräte sind KEIN Sicherheitsgewinn. Im Gegenteil.
Es ist momentan IMMER noch nicht möglich, die selben hohen Anforderungen auf einem mobilen Endgerät umzusetzen, die auch am PC (Linux) umsetzbar sind. Ja, auch wenn das Gerät gerootet ist, eine Firewall hat und die Bloatware deinstalliert ist und man auf Open Source Apps setzt. Auch darauf gehören KEINE sensiblen Daten von Apple Geräten oder den “standardisierten” Google Geräten ganz zu schweigen.

Aber all das war nicht meine Frage.

Ich möchte wissen, wann das BfDI das intern umsetzt, weil sonst ist es nur fordern aber nicht machen. Die Möglichkeiten gibt es und alle Antworten bisher sind ja auch nur reine Vermutungen.

Vielen Dank für die Klarstellung. Da ich nicht beim BfDI angestellt bin kann ich deine Fragen nicht beantworten. :frowning:

Auch wenn das jetzt wieder ein bisschen OffTopic ist, möchte ich trotzdem etwas zu dem Post schreiben.

Ich einfach mal davon ausgegangen, dass freie Software das gleiche wie Open Source Software meint.
Kannst du das ein bisschen genauer Ausführen? Oder bezieht sich das auf den Kommentar zur Sicherheit?

Das ist richtig, aber es ging in diesem Thread bisher noch nicht um das Thema Sicherheit, oder habe ich da was übersehen?

Das sehe ich ein wenig anders, daher würde ich mich über ein paar mehr Details freuen.
Ich habe in meinem vorigen Post absichtlich Projekte verlinkt, deren Ziel ein datenschutzfreundliches und sicheres mobiles Endgerät auf Android-Basis ist. Das AOSP ist nur das OS von Android, da sind keine Apps von Google dabei, sondern nur die grundlegenden Basisfunktionen. Root oder eine Firewall ist auch nicht vorhanden. GrapheneOS ist besonders auf die Sicherheit von mobilen Endgeräten spezialisiert, auf der Projektseite gibt es eine Übersicht an Maßnahmen die das Projekt ergreift um die IT-Sicherheit auf den Geräten zu verbessern.
Aufgrund der durch die Hardware unterstützte Absicherung des Bootprozesses halte ich persönlich Endgeräte mit GrapheneOS für sicherer als so einige Laptops, auf denen Linux läuft.

Das werden dir nur die freundlichen Leute vom BfDI mitteilen können, aber ich denke dass eine konstruktive Diskussion über Vorteile (und auch Nachteile) von freier Software gerne gesehen wird und vielleicht interne Prozesse anstößt.