Digitale Souveränität

Die Bedeutung von digitaler Souveränität

Digitale Souveränität ist vor allem dann wichtig, wenn eine hohe Abhängigkeit von einzelnen Technologieanbietern besteht. Dann droht die Gefahr, die Kontrolle über die eigene IT und den Informations- und Datenschutz zu verlieren und nationale und EU-weite Anforderungen nicht mehr zu erfüllen. Um die Handlungsfähigkeit des Staates im digitalen Raum langfristig zu sichern und Abhängigkeiten von einzelnen Technologieanbietern zu minimieren, sollten u.a. Open Source und offene Schnittstellen genutzt werden.

Gegenwärtig existiert das Problem, dass die Messbarkeit und Vergleichsmöglichkeit der digitalen Souveränität einer Anwendung, die aus mehreren Einzelkomponenten besteht, nicht gegeben ist. Es ist von Interesse, ob die digitale Souveränität einer Anwendung nach einem allgemeinen System erfasst und über einen Index vergleichbar gemacht werden kann. Dieser Artikel beschäftigt sich mit der Konzeption und Evaluation eines solchen Indexes. Dabei wird sich auf den Bereich der Content Management Systeme, darunter TYPO3, beschränkt. Content Management Systeme werden für die Erstellung und Verwaltung von Webseiten eingesetzt und TYPO3 hat in öffentlichen Verwaltungen einen hohen Marktanteil.

Das Weizenbaum-Institut und die OSB Alliance haben eine Initiative gestartet, um die digitale Souveränität durch einen Index messbar zu machen. Der Index, welcher Parameter aus unterschiedlichen Bereichen untersucht, erstellt ein umfassendes Bild der aktuellen Situation und kann Veränderungen im Level der digitalen Souveränität über die Zeit darstellen. Dadurch kann man Maßnahmen für die Politik, Wirtschaft und Gesellschaft ableiten, um individuelle Indikatoren anzupassen und die politischen Ziele zu erreichen.

Digitale Souveränität ist vor allem dann wichtig, wenn eine hohe Abhängigkeit von einzelnen Technologieanbietern besteht. Derzeit gibt es keine eindeutige Methode zur Messung der digitalen Souveränität. Um einen Ansatz zur Messung zu finden, ist ein Blick auf die Definition erforderlich. Aber auch diese ist nicht eindeutig. Digitale Souveränität wird in verschiedenen Quellen unterschiedlich definiert, aber alle Definitionen haben Gemeinsamkeiten. So wird im Allgemeinen von digitaler Souveränität gesprochen, wenn eine Person, ein Unternehmen oder sogar ein Staat die Fähigkeit und Möglichkeit hat, die Kontrolle über seine eigenen digitalen Ressourcen und seine digitale Identität zu behalten und unabhängig von äußeren Einflüssen zu handeln.

Um die digitale Souveränität einer Web-Anwendung messen zu können, muss zunächst festgelegt werden, wann eine Web-Anwendung als digital souverän angesehen werden kann.

Aus der Sicht des Betreibers dieser Web-Anwendung ist das der Fall, wenn der Betreiber die Kontrolle über alle Daten und Funktionen hat, unabhängig von anderen Diensten oder Plattformen ist und Inhalte eigenständig verwalten und veröffentlichen kann.

Aus der Sicht des Nutzers kommen für die digitale Souveränität einer Web-Anwendung weitere Punkte dazu. Die Anwendung muss ein hohes Maß an Privatsphäre und Datenschutz gewährleisten. Es sollten so wenig Daten wie möglich über den Nutzer gesammelt und nicht an Dritte weitergegeben werden, und der Nutzer sollte seine Daten selbst verwalten können. Darüber hinaus sind auch Aspekte wie Zuverlässigkeit und Sicherheit von Bedeutung, denn die Nutzer sollen bedenkenlos mit der Website interagieren können. Zudem sollte die Web- Anwendung für alle Nutzergruppen problemlos zu bedienen sein. Aus diesen Überlegungen werden einige Merkmale einer Web-Anwendung abgeleitet. Diese Merkmale werden bei der Messung der digitalen Souveränität berücksichtigt:

• Kontrolle über Daten, Inhalte und Funktionen:
  Es kann überprüft werden, ob der Betreiber vollen Zugriff auf alle Funktionen und Einstellungen des CMS hat und ob er seine Daten und Einstellungen frei verwalten und beispielsweise exportieren kann
• Unabhängigkeit von externen Anbietern:
  Es kann geprüft werden, ob die Web-Anwendung externe Abhängigkeiten hat und in welchem Umfang sie von Drittanbietern abhängig ist.Autorin: Anastasia Schmidt Modulbetreuer: Jens-Michalis Papaioannou Arbeitgeber: CPS GmbH Projektbetreuer: Sebastian Kreideweiß Berliner Hochschule für Technik Medieninformatik Online (Bachelor) Modul Praxisprojekt WS 2022/23
• Datenschutz und Sicherheit:
  Es kann geprüft werden, ob die Web-Anwendung den Datenschutzbestimmungen entspricht und sicher ist. Dazu gehört zum Beispiel Verwendung einer geeigneten Verschlüsselung für die Datenübertragung und Schließung von Sicherheitslücken.
• Zugänglichkeit:
  Es kann geprüft werden, ob die Web-Anwendung so gestaltet ist, dass sie von vielen Menschen genutzt wird oder ob bestimmte Gruppen ausgeschlossen werden.

Für die Erstellung eines Indexes müssen diese Merkmale berücksichtigt werden und da man sich auf das CMS TYPO3 bezieht, sind aus der TYPO3-Struktur Komponenten abzuleiten, die untersucht werden sollen. Man kann folgende Komponenten herausnehmen und sie näher untersuchen:

• Betriebssystem (Bsp. Linux, Microsoft Windows, macOS)
• Ausführungsumgebung (Bsp. PHP)
• Webserver (Bsp. Apache, Nginx, Microsoft IIS, Caddy Server)
• Datenbank (Bsp. MariaDB, Microsoft SQL Server, MySQL, PostgreSQL, SQLite)
• System Extensions und 3rd Party Extensions
• Möglichkeiten zur Konfiguration und Customization im Backend und Frontend (Bsp. Tsconfig, TypoScript, Fluid Template Engine)
• Support und Dokumentation

Hinzu kommen CMS-unabhängige Merkmale wie der menschliche Faktor, einschließlich der Kompetenzen und Abhängigkeiten bei Mitarbeitern und Dienstleistern, sowie Merkmale einer Webanwendung wie die Umsetzung von Datenschutz und Zugänglichkeit.

Die Ermittlung eines Index für digitale Souveränität kann mithilfe eines Fragebogens erfolgen. Dabei wird auf Hersteller, bestimmte Technologien oder Personen Bezug genommen. Auf diese Weise soll ermittelt werden, wo ein Lock-in-Effekt oder andere Probleme auftreten können, die die digitale Souveränität beeinträchtigen.

Der Index verfügt über eine Farbskala, die den Grad der digitalen Souveränität anzeigt. Das Ergebnis reicht von einem "grünen A" für eine optimale Anwendung bis zu einem "roten E" für eine sehr große Anzahl von Verstößen. Es gibt Punkte, die einen positiven oder negativen Einfluss auf den Index haben. Beispiele dafür sind in der nachstehenden Abbildung zu sehen.

1. Das CMS ist in einer digital souveränen Programmiersprache wie zum Beispiel PHP oder Python geschrieben.

2. Das verwendete CMS kann als digital souverän bezeichnet werden.

3. Das CMS ist auf einem hohen technischen Niveau.

4. Das CMS ist auf einer aktuellen und LTS-Version.

5. Das CMS ist erweiterbar (z.B. durch Extensions oder Plugins).

6. Alle installierten Komponenten sind notwendig und werden verwendet.

7. Alle installierten Komponenten sind auf einem hohen technischen Niveau und in einer LTS-Version.

8. Bei dem Betriebssystem wird Open Source Software eingesetzt.

9. Das Betriebssystem ist auf einer aktuellen und stabilen Version.

10. Die Ausführungsumgebung (z.B. PHP) ist auf einer aktuellen und stabilen Version.

11. Bei dem Webserver wird Open Source Software eingesetzt.

12. Der Webserver ist auf einer aktuellen und stabilen Version.

13. Bei der Datenbank wird Open Source Software eingesetzt

14. Die Datenbank ist auf einer aktuellen und stabilen Version.

15. Backend-Einstellungen (z. B. allgemeine oder benutzerspezifische Einstellungen) können bei einer Migration auf ein anderes CMS ganz oder teilweise weiterverwendet werden.

16. Frontend-Einstellungen (z. B. Seiten-Templates, Seiten-Einstellungen) können bei einer Migration auf ein anderes CMS ganz oder teilweise weiterverwendet werden.

17. Die Web-Anwendung ist benutzerfreundlich und zugänglich (also auch barrierearm) gestaltet.

18. Die Web-Anwendung ist sicher und entspricht den datenschutzrechtlichen Bestimmungen.

19. Die Mitarbeiter verfügen über die notwendigen Kompetenzen für die Arbeit mit dem CMS.

20. Ein Mitarbeiterwechsel oder ein Wechsel zu einem anderen Dienstleister, der sich um das CMS kümmert, stellen kein Problem dar.

Die Punkte sind zu addieren. Das Endergebnis der Indexberechnung kann der folgenden
Abbildung entnommen werden.

Die meisten Aussagen im Fragebogen sind sehr weit formuliert, und es ist anzunehmen, dass viele weitere Aspekte untersucht werden müssen, um eine solche Aussage zu bewerten.

• Beispiel 1: Die Aussage "Ein Mitarbeiterwechsel oder ein Wechsel zu einem anderen Dienstleister, der sich um das CMS kümmert, stellen kein Problem dar" beinhaltet indirekt auch die Frage, wie gut alles dokumentiert ist und ob es starke Abhängigkeiten von einzelnen Personen im Unternehmen gibt.
• Beispiel 2: Bei Aussagen wie "Die Web-Anwendung ist benutzerfreundlich und zugänglich (also auch barrierearm) gestaltet" sind zahlreiche Aspekte zu prüfen, auch rechtliche, etwa ob Richtlinien wie BITV 2.0 oder WCAG eingehalten werden müssen.
• Beispiel 3: Bei einigen Komponenten sollte geprüft werden, ob es sich um Open-Source- oder proprietäre Software handelt. In diesem Zusammenhang wäre es möglich, noch feinere Unterscheidungen zu treffen und weitere Lizenzmodelle auf Einschränkungen und Abhängigkeiten zu prüfen. Es gibt Shared-Source-Software, bei der der Quellcode ausgewählten Personen oder Gruppen zur Verfügung gestellt wird, wie dies beispielsweise bei Microsoft der Fall ist. Ein weiteres Modell ist Dual-Licensing, bei der eine Software unter verschiedenen Lizenzen verfügbar ist, wie zum Beispiel MySQL.

Dieser Test ist für CMS-basierte Web-Anwendungen allgemein und nicht nur für TYPO3 geeignet, aber er ist nur wenig detailliert und sollte lediglich als Anregung dienen, sich mit dem Thema der digitalen Souveränität auseinanderzusetzen.

• https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/digitale-souveraenitaet/digitale-souveraenitaet-node.html
• https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitale-loesungen/eckpunktpapier-digitale-souveraenitaet.pdf?__blob=publicationFile&v=2
• https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitale-loesungen/strategie-zur-staerkung-der-digitalen-souveraenitaet.pdf?__blob=publicationFile&v=1
• https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/it-digitalpolitik/digitalprogramm.html
• https://www.bmwk.de/Redaktion/DE/Publikationen/Digitale-Welt/schwerpunktstudie-digitale-souveranitaet.html
• https://www.oeffentliche-it.de/publikationen/?doc=255694&title=Ein+Open-Source-%C3%96kosystem+f%C3%BCr+die+%C3%B6ffentliche+Verwaltung