Konjunkturpaket, OZG, Digitalisierung, Digitale Souveränität

Es gibt Geld, viel Geld. Bitte lasst es uns sinnvoll investieren!

Das neue Konjunkturpaket enthält einige sinnvolle Maßnahmen. In diversen Diskussionen oder Papieren ist nun mehrfach die Rede von „Digitaler Souveränität“, von Stärkung von OpenSource in der Verwaltung und von einer einheitlichen Architektur.

Was beinhaltet das alles eigentlich und was kommt jetzt?

Digitale Souveränität

Es ist die Rede von Cloud-Vendor-Lock-In-Vermeidung. Ist das wirklich aktuell ein Thema? Welche Behörde in Bund, Land oder Kommune nutzt denn bereits eine Public Cloud — und zwar so intensiv, dass man von einem Vendor-Lock-In sprechen kann, d.h. werden spezielle Identitäts- und Authentifizierungsdienste, spezielle Datenbanken, Service-Meshes, Api-Gateways, you-name-it verwendet? Wenn es diese Behörden gibt, würde ich gerne in den Austausch mit Ihnen kommen. Denn mich würde interessieren, wie die vielen Fragen zu Informationssicherheit und Datenschutz gelöst wurden. Was ist mit den C5-Anforderungen des BSI? Wie hat man das mit dem Cloud-Provider geregelt? Anwendungen mit welchem Schutzbedarf werden betrieben? Welche Maßnahmen wurden für den hohen Schutzbedarf ergriffen? Und vieles vieles mehr…

Und wie werden die Anwendungen eigentlich betrieben? Hat man sich nur ein paar Server gemietet und installiert alles selbst (aka IaaS) oder werden bereits Container oder gar Kubernetes-Plattformen verwendet? Und machen das dann die Behörden tatsächlich selbst oder machen das IT-Dienstleister für Sie?

JA — wir brauchen eine eigene Infrastruktur in der öffentlichen Verwaltung, nennt es Bundescloud oder wie auch immer, die auch selbst betrieben werden muss, mit OpenSource Tools. Punkt.

Zu digitaler Souveränität zähle ich vor allem eben auch Kompetenzen. Ausreichend viele Mitarbeiter mit technisch exzellentem Wissen hervorbringen, die diese Infrastrukturen betreiben, warten und verbessern können; mit kurzen Wegen, hoher Eigenverantwortung und Selbstorganisation. Das gleiche gilt für die Softwareentwicklung.

Zu häufig sehe ich in Behörden das Konstrukt: Lange initiale Anforderungsanalyse -> Ausschreibung zur Beschaffung externer Dienstleister -> Controlling, Qualitätssicherung, Projektmanagement, … -> Planung Rollout -> Livegang -> Verabschiedung Dienstleister (oder teure Wartungsverträge mit langen Release-Zyklen)

Wer kann jetzt das entstandene Produkt warten? Mal schnell einen Fix einspielen? Einen Sicherheitspatch für eine verwundbare Bibliothek bereitstellen? Nur der externe Dienstleister? In einem halben Jahr? Frühestens? Zu welchem Preis?

Jetzt werden einige sicher denken: ja das hat man doch schon häufig versucht und dann ist es schiefgegangen. Achja, ist das wirklich so? Sind nicht die Produkte, die als „Eigenentwicklung“ betitelt werden nicht auch, zumindest größtenteils von Externen entwickelt worden?

Wieso sind es immer dieselben großen Consulting Firmen, die sich im öffentlichen Sektor tummeln? Gut, die Antwort ist vermutlich bekannt: die Unterlagen für Ausschreibungen sind so umfangreich, dass sich das für mittelgroße erfolgreiche Unternehmen nicht lohnt. Dort arbeiten keine zusätzlichen Mitarbeiter, die spezialisiert und ausschließlich für Ausschreibungen im öffentlichen Sektor zuständig sind.

Aber wieso sieht man von diesen großen Firmen eigentlich so selten Mitarbeiter auf Konferenzen Vorträge halten? Damit meine ich nicht Manager-Konferenzen, um neue Kundenaufträge zu generieren, sondern Entwickler-Konferenzen, Community-Konferenzen, Meetups usw.? Ist es, weil die Firmen kein Interesse haben, Wissen zu teilen, was man auch teuer verkaufen kann, oder ist es, weil die Mitarbeiter für so etwas keine Zeit haben bzw. bekommen? Ersteres ist moralisch fragwürdig, letzteres ist kritisch, da dies auch bedeutet, dass die Mitarbeiter nicht ausreichend Zeit haben werden, sich weiterzuentwickeln und Wissen anzueignen. Dadurch werden vermutlich häufiger schlechte oder gar falsche Entscheidungen in Projekten getroffen bzgl. Architekturen, Technologien und Vorgehensweisen.

Die Kompetenzen brauchen wir innerhalb der Behörden. Wir brauchen Communities of Practice für z.B. Architekten, um (überall) die richtigen Entscheidungen zu treffen, bzgl. Plattformen, Zukunftsfähigkeit, Wartbarkeit, Schnittstellen, Technologien usw. und wir brauchen Plattformen für den Austausch, d.h. Wikis, eigene Konferenzen, Online-Meetups, TechTalks, gemeinsame Code-Repositories für die Bereitstellung von Komponenten, Bibliotheken, Anleitungen, Skripten ...

Stärkung von OpenSource

Ja bitte, endlich! Wir bei uns im #BAS entwickeln hochmoderne Anwendungen, viele Anwendungen, effizient mit wenigen Entwicklern (eigenen, internen) ausschließlich mit OpenSource. Eine Aufstellung der Kosten, die wir nicht ausgeben, würde bei deutlich mehr als 1 Mio. € pro Jahr liegen (beim Kauf von vergleichbaren Produkten oder Enterprise-Lizenzen).

Ebenfalls wäre es zu begrüßen, bei Client- und Server-Betriebssystemen mehr auf freie Distributionen zu setzen, gerne auch optimiert durch interne Experten und dann allen anderen Behörden zur Verfügung stellen. Was an Aufwenden in jeder Behörde (!) und zentral entstanden ist und welche Ausgaben verursacht wurden, um Windows 10 anzupassen, dass es verwendet werden kann, ist schier unfassbar. Unabhängig von den Lizenzkosten, die zusätzlich anfallen.

Einheitliche Architektur

Im Konjunkturpaket bedeutet einheitliche Architektur lediglich „Einer-für-Alle/Viele“-Prinzip, also ein Land entwickelt eine Leistung, die dann andere Länder auch nutzen können. Würden Strukturen existieren, die einen Austausch (vor allem technisch) von Behörden fördern, egal ob Bund, Land oder Kommune, wäre das eine Selbstverständlichkeit. Es ist ja eher absurd, dass zentrale Dienste immer und immer wieder neu entwickelt werden oder teure Standardsoftware gecustomized wird.

Mehr wird anscheinend auch nicht erwartet. Wobei es sicher nicht schaden würde, Blaupausen bereit zu stellen. Die meisten Verfahren werden vermutlich ähnlich ablaufen. Der Bürger oder ein Unternehmen erhalten online eine Antrags- bzw. Datenübermittlungsmöglichkeit. Diese Daten werden transport- und inhaltsverschlüsselt, dann von intern betriebenen Fachanwendungen abgeholt, verarbeitet und im Anschluss irgendein Ausgang erzeugt (Bescheid, Überweisung, …). Das haben auch wir schon mehrfach gemacht. Inzwischen alles containerisiert und vollständig automatisiert in der Bereitstellung. Offen ist dabei jedoch immer die Frage: wie kann ein Bürger oder ein Unternehmen eindeutig und sicher identifiziert werden? Mit dem neuen Personalausweis? Mit einem Bürgerkonto? Mit Elsterzertifikaten? #Fido2? Hier muss endlich eine brauchbare und nutzerfreundliche Lösung für alle entstehen.

#MachenIstWieWollenNurKrasser

Eine Befürchtung, die ich habe ist, dass nun erst Mal ganz viel Zeit und Energie und somit Geld abfließt in die Planung, wie das Geld verteilt werden soll und in die Erstellung dafür notwendiger Konzepte, Anträge, Reviews …

Meine persönliche Herangehensweise wäre „von unten“. Bedeutet: einige Maßnahmen identifizieren, die es Wert sind, sofort in sie zu investieren. Auf Bundesebene benötigen wir z.B. eine Internet-DMZ, gehostet bei einem der zentralen IT-Dienstleister wie @ITZBund.

Das kann IaaS sein, das können einfach Container-Hosts sein, von mir aus auch #Kubernetes, sollte das notwendige Know-How dafür bereits existieren (intern, sei noch einmal angemerkt!). Auch wenn sich die Frage stellt, wie viele der OZG Systeme mit unberechenbarer Last konfrontiert sein werden, so dass automatische Skalierbarkeit, die ein Orchestrator mitbringt, wirklich notwendig wird.

Es wird eine Plattform benötigt, um die relevanten Anwendungen für #OZG und anderes betreiben zu können, ohne dass sich jede Behörde um Beschaffung, Inbetriebnahme, Netzwerk, Sicherheit uvm. kümmern muss. Dafür sind keine wissenschaftlichen Untersuchungen notwendig, das kann sofort beginnen.

Ob die Behörden überhaupt in der Lage sind, Anwendungen in Containern oder gar auf Kubernetes bereitstellen zu können, ist vermutlich die viel größere Baustelle. Nur sollten jetzt wieder erst Jahre vergehen, um Plattformen zu planen, wird sich diese Phase der Anwendungsmodernisierung bei vielen dennoch nur daran anschließen können, da das Vertrauen, dass diese Plattformen tatsächlich kommen und rechtzeitig bereitstehen werden, nicht mehr existiert, nach den vielen schlechten Erfahrungen der Vergangenheit (z.B. IT-Konsolidierung).

Themen wie Künstliche Intelligenz, Blockchain usw. waren jetzt noch gar kein Thema. Mit Absicht, da es aktuell „nur“ um die Schaffung von Rahmenbedingungen geht, damit Themen wie OZG und Verwaltungsdigitalisierung überhaupt eine Chance haben.

Und dabei sollten Behörden von dem Anspruch loskommen, bei der ersten Bereitstellung eines Dienstes, die perfekte IT-Lösung zu haben. Hier ist ein agiles Vorgehen notwendig; mit häufigen Releases inkrementelle Verbesserungen ausliefern, schnelles Feedback einholen, Monitoring und Messungen durchführen, nachjustieren — in höchstens einigen Tagen, nicht Monaten.

Das was jetzt nach viel Geld aussieht, kann ganz schnell verbraucht sein, ohne dass etwas tatsächlich Brauchbares entstanden ist. Meine Hoffnung ist, dass dies dieses Mal nicht passiert.

In diesem Sinne: lasst uns diese Chance nutzen

Mein Team und ich stehen jederzeit bereit, um aktiv mitzugestalten, Proof of Concepts oder Beta-Tests für Piloten durchzuführen.

Dies ist alles meine private Meinung und muss nicht die Meinung meines Arbeitgebers teilen.

--

--

Leader Softwaredevelopment Bundesamt für Soziale Sicherung — www.kitenco.de — Software-Architect — @kitenco1

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Stephan Kaps

Leader Softwaredevelopment Bundesamt für Soziale Sicherung — www.kitenco.de — Software-Architect — @kitenco1