Edit Policy: Wo bleibt Europas Open Technology Fund?
Wir müssen viele verschiedene, langfristig angelegte Förderstrukturen für Open-Source-Technologien aufbauen, für sichere und ungefilterte Kommunikation.
(Bild: EFKS/Shutterstock.com)
Wenn die deutsche EU-Ratspräsidentschaft es mit ihrem strategischen Ziel der digitalen Souveränität ernst meint, muss sie Open-Source-Technologien finanziell fördern, die weltweit unsere Sicherheit und Freiheit schützen. Dabei kommt es nicht darauf an, ob etwas "made in Germany" ist, sondern dass die Sicherheit freier Software unabhängig überprüfbar ist und dass wir sie weiterentwickeln können, egal ob irgendwo auf der Welt ein Unternehmen schließt oder eine Regierung den Geldhahn zudreht.
Jahrelang hat der Open Technology Fund mit öffentlichen Geldern aus dem US-Haushalt freie Software gefördert, die uns allen sichere und ungefilterte Kommunikation ermöglicht – von der verschlüsselten Messenger-App Signal über die zensurresistente Surf-Infrastruktur Tor bis hin zur VPN-Architektur WireGuard. Präsident Trump hat dieser öffentlichen Finanzierung nun ein Ende gemacht und mit der anstehenden Präsidentschaftswahl ist auch die Zukunft des Open Technology Fund ungewiss. Aber warum machen wir unsere IT-Sicherheit überhaupt von den Launen eines zunehmend unberechenbaren US-Präsidenten abhängig? Wo bleibt der europäische Open Technology Fund?
Ist Digitale Souveränität mehr als ein Buzzword?
Digitale Souveränität ist das Motto, mit dem die Bundesregierung während ihrer aktuellen EU-Ratspräsidentschaft die europäische Digitalpolitik strategisch neu aufstellen will. Was genau dieses Buzzword bedeuten soll, welche politischen Handlungsempfehlungen sich vom Ziel ableiten lassen, Europa solle digital souverän werden, ist dabei noch weitgehend unklar. Schlimmstenfalls verbirgt sich hinter digitaler Souveränität der Wunsch der Abschottung nach außen. Bestenfalls beherzigt digitale Souveränität die Werte, die für den Siegeszug des Internets verantwortlich waren: Dezentralisierung, flache Hierarchien und genehmigungsfreie Innovation.
In einer global vernetzten Welt sollte die Sicherheit unserer Informationstechnik nicht vom Vertrauen in einige wenige mächtige Akteure, seien es Staaten oder Unternehmen, abhängig sein. Freie Software und Hardware erfüllen dieses Versprechen. Mit hinreichend Zeit und Wissen kann jede:r überprüfen, wie diese Technologien funktionieren. Hintertüren und Sicherheitslücken, die Geheimdienste oder Kriminelle zur Überwachung oder Manipulation nutzen, können überall auf der Welt aufgedeckt und geschlossen werden. Gibt ein Unternehmen ein Open-Source-Projekt auf, können Nutzer:innen es gemeinsam instand halten oder weiterentwickeln. Das ist digitale Souveränität im besten Sinne – Ausfallsicherheit, Nachhaltigkeit, Unabhängigkeit nicht durch Abgrenzung nach außen, sondern durch globalen Informationsaustausch und freies Wissen.
EU stellt Förderung freier Software ein
Die Entwicklung und Instandhaltung der Freien Software, die wir täglich nutzen, kommt jedoch nicht zum Nulltarif. Obwohl die IT-Infrastruktur von Behörden und Unternehmen an vielen Stellen auf freie Software aufbaut, haben Deutschland und die EU deren Förderung viel zu lange Anderen überlassen. Im Jahr 2015 konnte ich die EU-Kommission überzeugen, ein Pilotprojekt für die Förderung der Sicherheit freier Software ins Leben zu rufen, nachdem der Heartbleed-Bug in der Open Source-Bibliothek OpenSSL die Ausspähung verschlüsselter Datenströme ermöglicht hatte.
Obwohl die EU-Kommission sich zum Abschluss des FOSSA-Projekts über das "enthusiastische Feedback" aus der Bevölkerung freute, hat sie es versäumt, die Förderung von freier Software zu einem dauerhaften Bestandteil des EU-Haushalts zu machen. Dass sie damit eine strategische Chance vertan hat, zeigt sich an ihrem Schlingerkurs, wenn es um den Einsatz von Software im eigenen Haus geht: So fordert die EU-Kommission aktuell Verbesserungen bei der Sicherheit des Videotelefonie-Dienstes Zoom, der im Zuge der Corona-Krise für viele Unternehmen, Hochschulen und Behörden praktisch über Nacht regelrecht zu kritischer Infrastruktur geworden ist.
Derweil setzt die EU-Kommission Zoom aber trotz bekannter Sicherheitsrisiken weiter ein, weil es an Open Source-Alternativen fehlt, die die gleiche Leistung bringen. Freie Alternativen zu Zoom gibt es einige, von Jitsi bis BigBlueButton. Doch ohne die nötigen finanziellen Ressourcen können diese Projekte nicht auf dieselbe Serverinfrastruktur bauen, die Ausfallsicherheit garantiert, und weniger in die Bedienbarkeit ihrer Nutzungsoberflächen investieren.
Ein europäischer Open Technology Fund
Es ist unverständlich, dass europäische Behörden über die Sicherheitsrisiken proprietärer Anwendungen klagen, aber nicht in die Weiterentwicklung von Open-Source-Alternativen investieren wollen. Über viele Jahre haben ausgerechnet die USA, die ansonsten eher für ihre überbordenden staatlichen Überwachungsprogramme bekannt sind, wichtige Open-Source-Projekte finanziell über Wasser gehalten, die Journalist:innen und Demokratiebewegungen auf der ganzen Welt für ihre tägliche Arbeit nutzen. Der Open Technology Fund, eine unabhängige Organisation, die jährlich einen niedrigen zweistelligen Millionenbetrag aus dem US-Haushalt erhalten hat, konnte Menschenrechtsaktivist:innen in Belarus, Hong Kong oder im Iran mit sicherer IT-Infrastruktur zur Umgehung von Zensur und zum Schutz vor staatlicher Überwachung versorgen, bis die Trump-Administration kürzlich die Förderung eingestellt hat.
Eins ist klar: Europa ist von digitaler Souveränität weit entfernt, wenn es sich für die Förderung der sicheren Open Source-Infrastruktur, auf die Demokratiebewegungen, Journalist:innen, Anwält:innen und auch Behörden täglich angewiesen sind, auf die Launen des US-Präsidenten verlässt. Die rund 17 Millionen Euro, die die US-Regierung bis vor Kurzem jährlich in den Open Technology Fund investiert hat, wären durch die EU, oder auch durch Deutschland allein, leicht zu ersetzen. Einem europäischen Äquivalent zum Open Technology Fund steht also nichts im Wege, außer dem politischen Willen, der Rede von der digitalen Souveränität auch Taten folgen zu lassen. Die Bundesregierung plant zum Beispiel aktuell ein neues "Zentrum für digitale Souveränität" beim Bundesinnenministerium, über dessen finanzielle Ausstattung und genaue Aufgaben noch wenig bekannt ist.
Kompetenz der Zivilgesellschaft nutzen
Zentral für den Erfolg des Open Technology Fund war jedoch stets seine organisatorische Unabhängigkeit von der US-Regierung. Damit sich die wichtigsten Open Source-Projekte, die oft von kleinen Gruppen eher regierungskritischer Aktivist:innen betrieben werden, auch auf eine solche Fördermöglichkeit bewerben, muss die Ausgestaltung des Programms in den Händen der Zivilgesellschaft liegen. Initiativen wie der öffentlich geförderte Prototype Fund der Open Knowledge Foundation Deutschland, deren Vorstand ich angehöre, können hier als Vorbild dienen.
Behörden sind oft nicht spezialisiert darauf, unkomplizierte Förderprogramme zu schaffen, die die Open Source-Community nicht bereits durch die Komplexität des Bewerbungsverfahrens abschrecken. Die Bundesregierung darf sich dabei nicht auf formale Kriterien wie Nationalität oder Wohnort der Entwickler:innen versteifen. Worauf es wirklich ankommt, ist das Bekenntnis der geförderten Projekte zur Offenlegung des Source Code und der freien Weiterverwendbarkeit der Software. Außerdem müssen sich öffentliche Förderprogramme von dem Ziel lösen, immer nur gänzlich neue Ideen zu fördern.
Wenn der Heartbleed-Bug eines gezeigt hat, dann ist es die enorme Wichtigkeit, freie Software-Komponenten über lange Zeiträume instand zu halten, stetig zu verbessern und laufend auf Schwachstellen zu überprüfen. Digitale Souveränität schafft man nicht, indem man immer nur der neusten Innovation hinterherrennt, sondern wir müssen viele verschiedene, langfristig angelegte Förderstrukturen aufbauen. Wenn dann eines dieser Programme, wie nun in den USA geschehen, aus politischen Gründen ausfällt, können andere den Schock abfedern.
Die Texte der Kolumne "Edit Policy" stehen unter der Lizenz CC BY 4.0.
(bme)