„Öffentlich finanzierte Software öffentlich zugänglich machen!“ und „Neue Software im Open Source-Kontext entwickeln!“ Diese Forderungen stehen hinter einem Beschluss, den der Münchner Stadtrat auf seiner Vollversammlung im Mai gefasst hat, um digitale Souveränität und Hersteller-Unabhängigkeit zu unterstützen. Wie die IT unserer Stadt diese Zielsetzungen engagiert verfolgt und sich auch auf Ebene kommunaler Verbände und Arbeitsgruppen für diesen Weg einsetzt, lesen Sie hier:
Im Sinne der Digitalisierungsstrategie
Die Devise „Software öffentlich zugänglich machen“ führt unmittelbar zu der Forderung nach mehr Open Source: Software also, deren Programmcode öffentlich zugänglich ist, kostenlos verwendet und dabei auch geändert werden kann.
Für die städtische IT ist dieses Thema nicht neu. In den hier im Portal veröffentlichten strategischen Prinzipien zur Digitalisierungsstrategie verpflichtet sich München der digitalen Souveränität. Dieses Prinzip wurde jetzt noch einmal nachhaltig gestärkt:
Die Stadt München gestaltet Leitlinien und trifft Entscheidungen im Kontext der Digitalisierung selbständig und unabhängig. Hierzu gehört auch der Einsatz von mehr Open Source Software, wo dies technisch und finanziell möglich ist.
Mehr Open Source für mehr digitale Souveränität
Ausgangsbasis für den aktuellen Beschluss war eine Vereinbarung im Koalitionsvertrag der Fraktionen Die Grünen – Rosa Liste und SPD/Volt, ein Antrag dieser Parteien sowie ein weiterer der ÖDP. Doch auch die gesamte Opposition stellte sich einstimmig hinter das Ziel „mehr Open Source“. In der Vollversammlung umriss Lars Mentrup (SPD/Volt) noch einmal die Zielsetzung der angestrebten digitalen Souveränität:
Wir wollen Kontrolle über unsere Daten und Transparenz darüber, was damit passiert. Außerdem die Unabhängigkeit, verschiedene IT-Lösungen modular zu verbinden. Denn so vermeiden wir geschlossene Welten, aus denen wir nur mit teuren Projekten wieder herauskommen.
Hohe Akzeptanz für mehr Open Source
Auch IT-Referent Thomas Bönig ließ klar erkennen: Die IT der Landeshauptstadt (LHM) folgt dieser Forderung nach mehr Open Source engagiert. So erinnert die Beschlussvorlage aus dem IT-Referat daran, dass es hier schon bisher zahlreiche Aktivitäten gegeben hat. Jüngere Beispiele sind die COVE-App und die virtuelle Unicode-Tastatur. Zudem setzt die städtische IT bei Software-Eigenentwicklungen auf freie Lizenzen und Schnittstellen, die Open Source vereinfachen. Um diese Linie verstärkt weiterzuverfolgen, wurden folgende Regeln beschlossen:
Die Stadtverwaltung München
- realisiert Eigenentwicklungen, wenn möglich, als Open Source Lösungen und priorisiert Open Source bei Beschaffungen
- begründet es, falls Software-Eigenentwicklungen nicht unter Open Source erfolgen
- erarbeitet Regeln, wie Beiträge Dritter zum Programmcode behandelt werden
- erstellt ein Schulungskonzept für Entwicklerinnen und Entwickler der Community außerhalb der LHM
- wirbt in Gremien der kommunalen Spitzenverbände für diesen Ansatz
Der Stadtrat stimmt zu, dass von der Landeshauptstadt München eingesetzte Softwarelösungen der Allgemeinheit zur Verfügung gestellt werden, sofern keine rechtlichen, sicherheitsrelevanten, technischen oder wirtschaftlichen Hinderungsgründe vorliegen.
Mehr Open Source nicht zum Nulltarif
Doch zum Nulltarif, so die Beschlussvorlage auf dem IT-Referat, ist mehr Open Source und digitale Souveränität auch nicht zu haben: Denn Software wird kontinuierlich weiterentwickelt. Wenn das im Rahmen einer offenen Community geschieht, könnten Externe Tickets stellen und Code einbringen. Das erfordert Entwicklungsressourcen und erzeugt aufseiten der Stadt Mehrkosten gegenüber einer rein internen Lösung.
Allerdings könnte der Mehraufwand ausgeglichen werden, wenn Produkte gemeinsam mit anderen Behörden oder öffentlich-rechtlichen Einrichtungen entwickelt würden. Deshalb beteiligt sich das IT-Referat an der Arbeitsgruppe der Open Source Business Alliance zum Aufbau eines Verzeichnisses für Code der öffentlichen Hand.
Zusammenfassende Bewertung des IT-Referenten Thomas Bönig:
Digitale Souveränität gibt es nicht umsonst. Aber es ist ein Ziel, auf das es sich lohnt, einzuzahlen.
Weiterhin auch externe Software
Ob Software selbst programmiert, die Entwicklung beauftragt oder ein fertiges Produkt eingekauft wird, hängt von mehreren Kriterien ab: fachliche Anforderungen, IT-Architektur, Marktlage, den IT-Betrieb betreffende Aspekte, finanzielle Gesichtspunkte.
Zudem gibt es Anwendungen, bei denen es unter Open Source nur wenig Auswahl gibt, etwa im Finanzmanagement oder bei Smartphones. Hier setzt die IT Münchens auf marktübliche Standards, für Fachaufgaben auf – sofern vorhanden – kommunale Branchenstandards. Bei sicherheitsrelevanten Systemen den Programmcode zu veröffentlichen, auch wenn er auf Open Source basiert, wäre auch keine gute Idee.
Vertiefende Informationen zu dieser Entscheidung gibt es hier im Beschlussdokument.
Kommentare (11)
Kommentar absenden
Weitere Beiträge
Einblick in die Digitalisierung der Stadt München: Vierter Digitalisierungsbericht veröffentlicht
Schnell und absolut verlässlich: Neuentwickeltes Münchner Adress- und Eigentumsregister
Ein Jahr neues Arbeiten im Multispace – was haben wir gelernt?
Dritte Fortschreibung der Digitalisierungsstrategie: Viele Impulse aus der Stadtgesellschaft aufgegriffen
Papierlose Verwaltungsarbeit: Inputmanagement für medienbruchfreie Prozesse
Zufriedenheitsbefragung der städtischen IT-Nutzenden: Effiziente Auswertung von Freitext mit Hilfe von KI
LoRaWAN und das stadtweite Internet der Dinge
In der Theorie klingt das alles immer wunderschön mit Open Source. Der Punkt ist aber, dass es Open Source Software weder umsonst gibt, noch dass sie günstiger ist, als proprietäre Software. Beim bisherigen Debakel mit LiMux wird ja immer unterschlagen, wie hoch die Kosten für die vielen Entwickler waren, die selten nachkamen die Software auf dem aktuellen Stand zu halten. Allein das Probleme mit Druckertreibern sind ein gutes Beispiel. Für die MitarbeiterInnen der Verwaltung war die unzulängliche Softwareausstattung und fehlende Kompatibilität zur restlichen Welt lange frustrierend und demotivierend.
Nachdem man nach teuren Gutachten zur städtischen IT nun endlich auf Standardsoftware gesetzt hat und städtische Mitarbeiter endlich und erstmalig eine gute IT-Ausstattung bekommen haben, fängt der politisch motivierte Wahnsinn leider wieder von vorne an! Schade!
Dr. Armin Pollak: Welche Lizenz wäre zum Beispiel? Die OSS Lizenzen, die ich kenne, erfordern die Veröffentlichung des Quellcodes nur, wenn man Kompilate veröffentlicht. Interne Weiterentwicklung und Nutzung ist normal kein Problem, wenn vielleicht auch nicht von der Community erwünscht. OSS lebt davon, dass Verbesserungen geteilt werden.
Abgesehen davon bin ich, wie einige andere hier, der Meinung, dass sicherheitsrelevante Software sogar besonders von der Offenlegung profitiert.
Betrifft das auch die Software an Schulen? Angeblich plant die Stadt hier Eigenentwicklung (und parallel dazu das Land ebenfalls, absurderweise).
Der Satz folgende Satz scheint etwas aus dem Kontext gerissen und zu allgemein, da er oft falsch ist: “Bei sicherheitsrelevanten Systemen den Programmcode zu veröffentlichen, auch wenn er auf Open Source basiert, wäre auch keine gute Idee.”
Für sicherheitsrelevante Kryptographie-Codes gilt hier z.B. nach Kerckhoffs’ Prinzip das Gegenteil: Der Programmcode muss offen und für jeden einsehbar und analysierbar sein. Die Sicherheit der Verschlüsselung hängt nur daran, dass der Schlüssel geheim gehalten wird.
Siehe z.B. https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
Auch wenn Computer sicherheitsrelevante Entscheidungen treffen (via Buzzwords AI oder ML) ist es sehr wünschenswert, dass ein Mensch – insbesondere als Betroffener – versteht warum und wieso ein Computer konkrete Entscheidungen trifft. Sollte beispielsweise in einem fiktiven Szenario die Polizei München ein Computerprogramm nutzen, welches ermittelt bei welchen Personen die Wahrscheinlichkeit größer ist, dass sie eine Straftat begehen und daher öfters kontrolliert werden sollten, wäre es sinnvoll, dass die betroffenen Personen eine Chance haben zu verstehen warum sie dauernd kontrolliert werden.
Sobald Computer Entscheidungen über Menschen treffen wäre es im Allgemeinen oft sehr wünschenswert, dass die betroffenen Menschen nachvollziehen können wie und auf welcher Grundlage die Entscheidung getroffen wurde und eventuell sogar Fehler im Programmcode oder Biases im Datensatz aufzeigen können.
Ich verstehe auch, dass dies nicht immer wünschenswert ist. Z.B. sollte das Finanzamt eine Software nutzen die statistisch sagt wo die Chance auf einen Steuerbetrug hoch ist und der Finanzsachbearbeiter genauer hinschauen soll, wäre es vermutlich nicht wünschenswert diese Software zu veröffentlichen, da einerseits sonst argwillige Steuerhinterzieher die Software gamen können und andererseits ein Mensch hier noch die finale Entscheidung trifft.
Dies ist eine etwas vereinfachte Meta-Zusammenfassung von https://en.wikipedia.org/wiki/Ethics_of_artificial_intelligence
Moralisch gesehen haben wir bereits ein Auskunftsrecht welches in die entsprechende Richtung geht [PDF entfernt]
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spricht sich klar für FLOSS aus.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/freie-software.html
Zitat: “Anpassbarkeit und Software-Vielfalt sowie die Verwendung offener Standards bieten eine Basis für IT-Sicherheit. Sicherheit ist jedoch ein Prozess. Um IT-Sicherheit erhalten zu können, müssen die Verantwortlichen das System genau kennen, regelmäßig warten und Sicherheitslücken schnell beheben. Der Einsatz von FLOSS bietet per se keine Gewähr für ein sicheres System. Er bietet in diesem Prozess jedoch bedeutende strategische Vorteile.”
Oder der Einsatz von Cisco Webex als Hauptkommunikationsplattform seit Beginn der Pandemie. Oder ServiceNow, was ein Ticketsystem in der Cloud ist, deren Daten in einem Rechenzentrum in den USA gelagert werden.
Ich bin gespannt wie sich das äußert.
Der Satz, den Herr Dr. Armin Pollak zitiert hat, ist mir auch ein großer Dorn im Auge. Abgesehen von der lizenzrechtlichen Frage ist es auch aus sicherheitstechnischer Sicht fragwürdig. In dem Fall findet nur der böswillige Akteur eine Sicherheitslücke und dringt ins System ein, aber unabhängige gutwillige Akteuere kriegen den Quellcode nie zu Gesicht, um ggf. die Lücke zu finden und zu schließen.
IT ist kein Selbstzweck. Das A&O ist es, dass die Software funktioniert, reibungslos angewendet und sinnvoll eingesetzt werden kann. In den letzten Jahrzehnten sind wir leider gegenüber den großen Playern aus den USA abgehängt. Für mich wäre es eine strategische Überlegung wert, ob wir weiterhin hoffnungslos “hinterherhecheln” möchten oder ob es Themen gibt, wo wir neu ansetzen können. Besser eine Nische richtig besetzen als David gegen Goliath spielen; das beste aktuelle Beispiel der letzten Jahre dafür ist Tesla (allerdings auch USA).
Weiterhin: um Open Source in der öffentlichen Verwaltung auszubauen, müsste man im ersten Schritt _eine_ öffentliche Verwaltung bzw. eine gemeinsame Haltung derselben organisieren. Neben der richtigen Themenfindung wäre eine bundesweite Vorgehensweise und vor allem eine Reform der Verwaltung notwendig. Warum kann man nicht mit einer einheitlichen Open Source Software für die Reservierung des KFZ Wunschkennzeichens oder Terminvereinbarungen beginnen. Speziell Terminvereinbarungen werden auch in der freien Wirtschaft, im Gesundheitswesen oder im Rechtswesen benötigt.
Bitte den Widerspruch
“Bei sicherheitsrelevanten Systemen den Programmcode zu veröffentlichen, auch wenn er auf Open Source basiert, wäre auch keine gute Idee.”
im letzten Absatz auflösen – für einige Open Source Lizenzen wäre dies eine Vertragsverletzung.
Wir sagen Danke für die Rückmeldung zu unserem Blogbeitrag. Der Hinweis deutet an, dass es unterschiedliche Arten der Lizenzierung von Open Source Software gibt. Die Stadtverwaltung sieht sich an die geltenden Bedingungen der jeweiligen Lizenz gebunden. Zu veröffentlichender Quellcode als solcher würde im Rahmen dieser Bestimmung(en) auch zugänglich gemacht. Davon zu unterscheiden ist das konkrete Einsatzszenario und dessen IT-Umgebung.
Das Beispiel zeigt, dass die Materie nicht ohne Komplexität ist. Wir werden in Zukunft noch genauer formulieren.
Wie genau passt das denn damit zusammen, von LiMux und z.B. Thunderbird auf Windows und Outlook umzustellen? Schützenswerte Daten in Software, in deren Quellcode die Stadt keinen vollständigen Einblick hat…
… ja dem kann ich mich nur anschließen. Dies Stadt wendet sich ab von LiMux, einem sicheren, stabilen und unabhängigen System und macht sich abhängig von Microsoft, dessen Hauptaugenmerk auf Datensammlung liegt … ???
Welche eine Heuchelei