Freie Software für die Städte
von Arne Semsrott
Als im Mai 2017 das Windows-Schadprogramm „Wannacry“ Computersysteme auf der ganzen Welt befiel, war nicht nur IT-Spezialisten zum Weinen zumute: Kliniken in Großbritannien, Kanada, Kolumbien und der Slowakei konnten nicht mehr auf die Patientenakten in ihren veralteten Rechnern zugreifen. Weil 450 Computer der Deutschen Bahn lahmgelegt waren, funktionierten deren Anzeigetafeln nicht. Und neben zahlreichen Unternehmen mussten auch Ministerien in Indien, Rumänien und Russland zugeben, dass der Computervirus Teile ihrer Festplatten gesperrt hatte.
„Wannacry“ zeigte auf einen Schlag, wie fehlerhafter Code in Software von Dritten ausgenutzt werden kann. Bald nach der Attacke wurde nämlich bekannt, dass die ihr zugrundeliegende Sicherheitslücke bereits seit fünf Jahren bekannt war – allerdings nur dem US-Geheimdienst NSA, der Microsoft darüber erst nach einem Leak Anfang 2017 informiert hatte.
Dass staatliche Stellen auf der ganzen Welt von der Attacke betroffen waren, zeigte aber vor allem, wie abhängig sie alle von Microsoft sind. Erkennt das US-Unternehmen eine Schwachstelle im nicht öffentlich einsehbaren Quellcode seines Betriebssystems nicht, sind die Verwaltungen den möglichen Konsequenzen machtlos ausgeliefert. Ihre Computersysteme können manipuliert werden, sensible Daten abfließen. Das Prinzip „Security by Obscurity“, also Sicherheit durch Verstecken des Codes, funktioniert offensichtlich nicht. Wer ein Programm hacken will, wird auch an den Quellcode kommen.
In sicherheitsrelevanten Bereichen bevorzugen deswegen einige Staaten inzwischen Open-Source-Software, deren Quellcode im Internet offen zugänglich ist. Das italienische Verteidigungsministerium und Teile der französischen Polizei sowie des US-Militärs etwa nutzen statt Windows das freie Betriebssystem Linux. Und sogar einige Drohnensysteme der US-Streitkräfte laufen auf Linux.
Zwar garantiert auch die Verwendung von offenen und freien Systemen keine absolute Sicherheit. Auch in offenem Code können theoretisch jahrelang Sicherheitslücken schlummern. Die öffentliche Überprüfbarkeit erhöht allerdings die Wahrscheinlichkeit, dass Fehler entdeckt und behoben werden. Außerdem wird so verhindert, dass zum Beispiel die NSA geheime Hintertüren in die Software hineindiktiert, durch die sie jederzeit Zugriff auf Benutzerdaten hätte. Wie die Welt seit den Snowden-Enthüllungen weiß, haben Microsoft, Google und Co dem NSA-Spähprogramm Prism Daten zur Verfügung gestellt und dafür Millionen Dollar erhalten.
Der Kampf um die Software, mit der die Verwaltungen arbeiten, entscheidet letztlich über die technologische Souveränität des Staats. Dabei geht es neben Sicherheitsbedenken oft um Geld. Francesca Bria, die bei der Stadt Barcelona für digitale Innovationen zuständig ist, hat angekündigt, dass bis 2019 insgesamt 70 Prozent des städtischen Softwarebudgets für Open- Source-Programme ausgegeben werden soll. Dazu wird Barcelona neben der Abkehr von Microsoft – Linux statt Windows, LibreOffice statt Microsoft Office, Firefox statt Internet Explorer – gezielt in kleine und mittlere Unternehmen aus der Region investieren.
München beugte sich der Microsoft-Lobby
Freie Software ist deutlich billiger als ihre proprietären Gegenstücke. Doch die Umstellung der Verwaltung in Barcelona wird erst einmal ein Kraftakt: Nach Jahrzehnten der Nutzung von unfreier Software entwickeln sich Pfadabhängigkeiten bei Verwaltungspersonal und Daten, die zu sogenannten Lock-ins führen können. Manche Beamte beherrschen eben nur bestimmte Programme und scheuen die Veränderung, Daten und Dokumente lassen sich nicht ohne Weiteres in offene Programme und Standards exportieren.
Wie umfassend dieses Problem ist, zeigt sich in der Vergabepraxis von Verwaltungen. Das Consulting-Unternehmen PricewaterhouseCoopers stellte in einer Studie für die Europäische Kommission 2016 fest, dass europaweit in einem Sample von 1726 kommunalen Ausschreibungen und Auftragsvergaben 2620 Verweise auf namentlich genannte Softwareanbieter vorkamen. Am häufigsten genannt wurden Microsoft, SAP, Oracle, IBM und Linux.
Selbst wenn sich Verwaltungen dem Griff der Tech-Unternehmen entziehen wollen, lassen die sie nicht widerstandslos gehen. Nicht ohne Grund laufen beispielsweise gegen Microsoft immer wieder Kartellverfahren wegen Missbrauchs seiner dominanten Marktposition. Die Stadt München etwa, die jahrelang Linux nutzte und als Vorreiterin der Freien-Software-Bewegung gefeiert wurde, gab im vergangenen Jahr der Microsoft-Lobby nach. Den Ausschlag gab letztlich ein Gutachten des Microsoft-Partners Accenture, der dem Rathaus eine Rückkehr zu Windows empfahl. Laut einer gemeinsamen Entscheidung von SPD und CSU im Stadtrat wird die Stadtverwaltung bis 2021 wieder vollständig zu Microsoft-Produkten zurückkehren, obwohl die Kommune in den Vorjahren durch Linux 11,6 Millionen Euro eingespart hatte.
Diese Steuergelder werden bald wieder an Microsoft gehen, das seinen Deutschlandsitz in München hat – zum Missfallen der Free Software Foundation Europe. Die Nichtregierungsorganisation hat im vergangenen Herbst gemeinsam mit Edward Snowden die europaweite Kampagne „Public Money, Public Code“ ins Leben gerufen. Sie setzt sich dafür ein, dass der Code steuerfinanzierter Software auch öffentlich zugänglich ist.
Daneben geht es der Organisation um gesellschaftliche Innovation. Denn offene Codezeilen sind wiederverwendbar und können für andere Gegebenheiten angepasst werden. Während derzeit IT-Konzerne maßgeschneiderte Lösungen für Verwaltungen anpreisen (und eigentlich nur die immergleichen Programme mit minimalen Änderungen immer wieder teuer verkaufen), bietet Open-Source-Software Möglichkeiten der Zusammenarbeit von Kommunen untereinander. Entwickelt eine Stadt etwa eine datenschutzfreundliche Beteiligungsplattform für Bürger, könnte eine andere diese Plattform ebenfalls einsetzen, anstatt sie ein zweites Mal zu entwickeln. Damit kommt vor allem größeren Kommunen die Verantwortung zu, die Entwicklungskosten zu stemmen.
Mit offener Software lassen sich außerdem die Potenziale von Entwickler-Communitys erschließen, die meist über mehr Expertise verfügen als die Verwaltung selbst. Auf der Softwareplattform github tummeln sich mehr als 500 staatliche Stellen aus der ganzen Welt, die den Code ihrer Anwendungen offenlegen. Alle Nutzer können dort der Stadtverwaltung von Chicago oder Amsterdam oder auch Teilen des Schweizer Kantons Zürich „Pull Requests“ vorschlagen, also einen Code, der zum Beispiel Sicherheitslücken schließt oder Anwendungen erweitert.
Indien will 100 Smart Cities schaffen
Manche Kommunen gehen noch weiter und holen sich Techies in die Verwaltung, die neben der guten Dokumentation öffentlicher Softwareprojekte auch eine langfristige Planung ermöglichen sollen. Die Städte New York City, San Francisco und Helsinki haben eigene Entwicklerteams, die offene Anwendungen programmieren. Die finnische Hauptstadt hat zum Beispiel Dokumente aus dem Gesetzgebungsprozess des Stadtrats und die Navigation für den öffentlichen Nahverkehr auf github zur Verfügung gestellt. So können Wissenschaftler die Daten systematisch analysieren und Start-ups mit den Verkehrsdaten eine Mobilitäts-App programmieren, die auf Barrierefreiheit spezialisiert ist. 2014 rief die US-Regierung unter Barack Obama sogar eine eigene staatliche Innovationsagentur mit dem nerdigen Namen 18F1 ins Leben, nachdem die Verwaltung mit der Programmierung einer Website für die Beantragung einer Krankenversicherung auf HealthCare.gov spektakulär gescheitert war.
18F funktioniert ähnlich wie ein behördeneigenes Start-up und entwickelt unter anderem die Plattform FOIA.gov, über die Bürger nach dem 1967 in Kraft getretenen Informationsfreiheitsgesetz Anfragen an Behörden stellen können.2 Auch die britische Verwaltung setzt auf offene Standards und verfolgt mit dem Government Digital Service einen umfassenden Ansatz, nach dem neben der Software alle nicht personenbezogenen Daten der Verwaltung in offenen Formaten veröffentlicht werden müssen.
Die Frage nach der technologischen Souveränität ist auch für die sogenannten Smart Cities relevant. Indien investiert im Rahmen seiner „Smart Cities Mission“ bis 2022 insgesamt 15 Milliarden US-Dollar, um 100 Kommunen „smart“ zu machen. In diesen Städten werden große Teile der Infrastruktur ins Internet der Dinge eingebunden. Sensoren in Autos, Videokameras, Straßenlaternen, Ampeln, Gärten und Reihenhäusern erheben Daten über das urbane Leben.
Tech-Unternehmen verkaufen heute eifrig proprietäre Softwarelösungen an Kommunen, um Verkehrs-, Energie- und Menschenströme zu messen und ganz nebenbei die Daten für ihre eigenen Geschäftsmodelle zu nutzen. Die Deutsche Telekom etwa verkauft gemeinsam mit der IT-Firma Cisco von Hamburg bis Pisa „intelligente Parkleitsysteme“ und Straßenbeleuchtungssysteme, die Daten über Temperatur- und Lichtverhältnisse sammeln. Bestandteil derartiger Angebote werden in Zukunft immer häufiger automatisierte Entscheidungsprozesse sein, bei denen die Messung bestimmter Daten reale Konsequenzen hat – vom Polizeieinsatz im Rahmen von Predictive Policing bis hin zur Performancemessung von städtischen Angestellten.
Ob die dahinterliegenden Algorithmen öffentlich kontrolliert oder als Geschäftsgeheimnisse privater Unternehmen gehütet werden, ist letztlich auch für die Legitimation der Demokratie von Belang. Es bieten sich viele Möglichkeiten, die smarte Stadt auch technologisch souverän zu machen – mit eigens entwickelter Software und Hardware, die offen ist und der Öffentlichkeit gehört.
1 Der Name spielt auf die Adresse der Behörde in der 1800 F Street in Washington an.
Arne Semsrott ist Politikwissenschaftler.
© Le Monde diplomatique, Berlin