Mögliche Risiken für die digitale Souveränität, IT-Sicherheit und Grundversorgung durch die Übernahme von VMware durch Broadcom
der Abgeordneten Anke Domscheit-Berg, Dr. André Hahn, Gökay Akbulut, Clara Bünger, Nicole Gohlke, Christian Görke, Susanne Hennig-Wellsow, Jan Korte, Caren Lay, Petra Pau, Sören Pellmann, Martina Renner, Dr. Petra Sitte, Kathrin Vogler und der Gruppe Die Linke
Vorbemerkung
Virtualisierung ist ein übliches Verfahren zur Emulation von IT-Ressourcen, die dadurch flexibler genutzt und aufgeteilt werden können. Produkte des US-Unternehmens VMware dominieren den Markt für die Virtualisierung von Servern und Rechenzentren. Bei Cloud-Virtualisierung lag der Marktanteil 2023 bei mindestens 45 Prozent (cispe.cloud/broadcoms-brutal-contract-terminationand-imposition-of-prohibitive-new-licensing-terms-will-decimate-europes-cloud-infrastructure/). Die Abhängigkeit von VMware-Produkten für IT-Dienste bei Unternehmen, der öffentlichen Hand, einschließlich Krankenhäusern und anderen Einrichtungen der Daseinsvorsorge, ist sehr hoch.
Im Zeitraum von Mai 2022 bis Dezember 2023 wurde VMware durch den US-Konzern Broadcom für 61 Mrd. US-Dollar vollständig übernommen (www.heise.de/news/Broadcom-uebernimmt-VMware-fuer-rund-61-Milliarden-US-Dollar-7123532.html). Broadcom ist vor allem ein Chiphersteller, der jedoch auch durch Übernahmen großer IT-Unternehmen bekannt wurde. Die enormen Kosten für die Übernahmen sollten dabei durch eine gezielte Ausnutzung der Kundenbindung (Lock-in-Effekt) überkompensiert werden, indem den Kunden hohe Preise aufgezwungen wurden, ehe sie auf Alternativen umsteigen konnten. Der „Behördenspiegel“ beschreibt die Strategie von Broadcom exemplarisch an der Übernahme von CA Technologies im Jahr 2018 und Symantec im Jahr 2019 als Beispiele dafür, „wie man mit einer nicht an Technologie orientierten Strategie Gewinn maximiert“ (Behördenspiegel, Printausgabe vom Februar 2024, S. 20). Dabei kam es zu umfangreichem Personalabbau, Innovationsrückgang, vernachlässigtem Support und Preiserhöhungen für die stark zurückgehende Anzahl der Kunden (www.computerwoche.de/a/wird-broadcom-die-vmware-kunden-melken,3553471). Daraus ergibt sich nach Ansicht der Fragestellerinnen und Fragesteller, dass Produkte der von Broadcom gekauften IT-Unternehmen einem besonderen Risiko für die Verfügbarkeit und Zuverlässigkeit sowie besonderen Risiken für die digitale Souveränität des Kunden unterliegen. Dennoch schrieb das Beschaffungsamt des Bundesministeriums des Innern und für Heimat noch im August 2023 zwei Rahmenverträge „VMWare für Bundesbehörden“ über 300 Mio. Euro mit einer Laufzeit von zwei Jahren aus (www.evergabe-online.de/tenderdetails.html?2&id=533958; www.evergabe-online.de/tenderdetails.html?1&id=533966).
Ab Januar 2024 wurde den Kunden von VMware vonseiten des Unternehmens mitgeteilt, dass sämtliche bestehenden Lizenzverträge kurzfristig (einseitig) gekündigt werden. Das breite Portfolio wurde im Wesentlichen auf zwei Pakete eingedampft, die nur noch zur Miete (also nicht „on-premise“) bezogen werden können. Noch am 12. März 2024 antwortete die Bundesregierung auf die Schriftliche Frage 39 der Abgeordneten Anke Domscheit-Berg auf Bundestagsdrucksache 20/10665, zur Kündigung bestehender Lizenzverträge zu VMware lägen ihr keine Informationen vor (mdb.anke.domscheit-berg.de/2024/03/meine-schriftliche-frage-zu-lizenzvertraegen-des-bundes-mit-vmware/).
Die Vereinigung von Cloud-Serviceprovidern CISPE gab in einer Pressemitteilung vom 19. März 2024 an, dass die Vertragskündigungen mit einer Frist von nur wenigen Wochen mitgeteilt wurden, und dass durch die neuen Verträge bei den Kunden mit einer Steigerung der Lizenzkosten um das bis zu Zwölffache gerechnet werden muss und für den privaten und öffentlichen Sektor einschließlich Krankenhäusern essenzielle Cloud-Services offline gehen könnten (cispe.cloud/broadcoms-brutal-contract-termination-and-imposition-of-prohibitive-new-licensing-terms-will-decimate-europes-cloud-infrastructure/). In diesem Kontext folgte ein Brief von IT-Anwendervereinigungen mehrerer Mitgliedstaaten an Margrethe Vestager, Thierry Breton und Ursula von der Leyen. Am 15. April 2024 wurde bekannt, dass die Wettbewerbsaufsicht der Europäischen Union (EU) Kontakt mit Broadcom bezüglich der umgestellten Geschäftspraxis von VMware aufgenommen habe (www.reuters.com/technology/broadcom-questioned-by-eu-over-vmware-licensing-changes-2024-04-15/).
Es besteht nach Ansicht der Fragestellerinnen und Fragesteller eine große Wahrscheinlichkeit für erhebliche finanzielle Risiken für den Bund durch diese Unternehmensübernahme und damit verbundene geänderte Lizenzbedingungen sowie außerdem weitere Risiken für die Sicherstellung des IT-Betriebes, die digitale Souveränität und die IT-Sicherheit. Vor diesem Hintergrund stellen sich Fragen dazu, wie die Bundesregierung diese Risiken selbst bewertet und welche Maßnahmen sie vorsieht, um ihnen zu begegnen und künftige vergleichbare Risiken zu verringern.
Wir fragen die Bundesregierung:
Fragen13
Wie bewertet die Bundesregierung die Zusatzbelastungen deutscher Unternehmen und der öffentlichen Hand durch die im Zusammenhang mit der Übernahme von VMware steigenden Lizenzkosten sowie durch höhere Risiken für die Zuverlässigkeit und Sicherheit VMware-abhängiger Anwendungen und Infrastrukturen, insbesondere für Bedarfe der Daseinsvorsorge?
Hat die Bundesregierung wettbewerbsrechtliche Untersuchungen oder andere Untersuchungen auf mögliche Rechtsverstöße im Zusammenhang mit der Übernahme von VMware durch Broadcom angestoßen, und welche, gegebenenfalls auch vorläufige Einschätzung zu möglichen Rechtsverstößen hat dazu das Bundeskartellamt oder haben andere Einrichtungen des Bundes (bitte auch bei noch laufenden Untersuchungen die untersuchten möglichen Rechtsverstöße benennen sowie die einseitige Veränderung von Kündigungsfristen, verfallende Gutscheine („PSO-Credits“), gestoppte Wartungsverträge ohne Entschädigungsleistung und Zwang zum Umstieg von on-premise auf Cloud-Lösung sowie von Einzel-Lizenz zu Bündel-Lizenz berücksichtigen, und ob Broadcom die marktdominierende Stellung von VMware in bestimmten Bereichen des Virtualisierungsmarktes unzulässig ausgenutzt hat, zum Nachteil der Kunden)?
In welchem Volumen hat die Bundesregierung Produkte von VMware eingekauft, und in welchem Volumen kaufte sie Produktalternativen zu VMware-Produkten, insbesondere Open Source Software ein (bitte sowohl laufende Rahmenverträge als auch alle seit Januar 2020 abgeschlossenen Einzelverträge je Ressort und nachgeordneten Behörden auflisten und explizit eine Gesamtsumme je Ressort und nachgeordnete Behörde angeben, dabei nach VMware und Alternativen unterscheiden, Letztere auch noch einmal nach Closed Source und Open Source unterscheiden, auch bei den Gesamtsummen, in maschinenlesbarer Form bereitstellen)?
Sind weitere Vertragsabschlüsse zur Nutzung von VMware-Produkten für 2024 oder 2025 geplant oder sind derartige Ausschreibungen oder Vergaben aktuell „auf Eis gelegt“?
In welchen der laut der Antwort auf die Kleine Anfrage auf Bundestagsdrucksache 20/3619 genannten 184 Rechenzentren (RZ) des Bundes und seitdem hinzugekommenen RZ des Bundes sind Produkte von VMware eingesetzt?
a) Für welche dieser RZ wurde oder wird ein Ersatz von VMWare durch ein Alternativprodukt geprüft?
b) Wo es solche Prüfungen gab, welche Alternativprodukte wurden dabei betrachtet?
c) Wo bereits für eine Alternative entschieden wurde, auf welches Produkt soll in welchem Zeitrahmen umgestiegen werden?
d) Zusätzlich für die Master-RZ des Bundes, wie hoch ist der Anteil (bezogen zum Beispiel auf Einheiten Rechenleistung) von VMware-Produkten zur Virtualisierung verglichen mit jeweils welchen anderen in Master-RZ des Bundes genutzten Virtualisierungslösungen?
In welcher Art und Weise ist der Einsatz beziehungsweise der Austausch von VMware-Produkten in der Umsetzung der IT-Konsolidierung berücksichtigt (wenn ja, bitte beschreiben, in welcher Weise), und wenn bisher nicht, ist die Berücksichtigung zeitnah geplant (wenn nein, bitte begründen, warum nicht)?
Hat eine systematische Überprüfung und Bewertung der Abhängigkeiten und Risiken für den Bund durch die Folgen der Übernahme von VMware durch Broadcom stattgefunden?
a) Wenn ja, wer hat dafür die Federführung?
b) Was sind die bisherigen Ergebnisse dieser Untersuchung?
c) Welche Risiken betrachtet diese Untersuchung?
d) Wann wird die Untersuchung abgeschlossen sein?
e) Wenn nein, ist eine solche Überprüfung noch geplant?
f) Wenn eine Untersuchung geplant ist, in welchem Zeitrahmen soll sie erfolgen (Beginn und erwartetes Ende), und durch wen in der Federführung?
g) Wenn eine Untersuchung nicht geplant ist, bitte begründen, warum nicht?
Wie bewertet die Bundesregierung ihre eigene Abhängigkeit im IT-Umfeld von VMware-Produkten unter besonderer Berücksichtigung
a) der quantitativen Verbreitung des Einsatzes von VMware-Produkten in der IT des Bundes und
b) der Möglichkeit, zeitnah (oder überhaupt) auf alternative Produkte umzustellen?
Wie bewertet die Bundesregierung die Beeinträchtigung des Weiterbetriebs von VMware-Produkten bei On-premise-Lösungen, zum Beispiel durch die von Broadcom für VMware-Produkte eingeschränkte Update-Fähigkeit, die ihre Zuverlässigkeit, Anpassbarkeit und IT-Sicherheit gefährdet?
Was ist der Bundesregierung zum möglichen Mischbetrieb von bereits genutzten On-premise-Produkten und gegenwärtig erhältlichen VMware-Produkten, und zu Preisnachlässen für neue Lizenzen in diesem Zusammenhang, bekannt, und ist insbesondere bekannt, ob dieser Mischbetrieb möglicherweise nicht zulässig beziehungsweise nicht möglich sein wird?
Mit welchen Zusatzkosten rechnet die Bundesregierung (grobe Schätzung) im Zusammenhang mit der genannten Unternehmensübernahme im laufenden sowie in den kommenden Haushaltsjahren, zum Beispiel durch geänderte Lizenzbedingungen, Kündigungsfristen, Umstieg auf Mietmodelle statt On-premise-Lösungen, Wegfall von Bonus-Konditionen (PSO-Credits), Wegfall von Wartungsverträgen, Zwang zu Bündelprodukten, Dienstleistungen im Zusammenhang mit der Gewährleistung des Weiterbetriebs und der IT-Sicherheit oder auch durch den Wechsel auf Produktalternativen und allgemein durch die Erhebung, Bewertung und Mitigierung der Risiken für den Bund?
Welche Maßnahmen unternimmt die Bundesregierung,
a) kurzfristig, um vor allem die Risiken dieser Übernahme zu mitigieren,
b) mittel- und langfristig, um einerseits den aktuellen Risiken zu begegnen, aber auch um vergleichbare Situationen künftig zu verhindern, also Abhängigkeiten von einzelnen Produkten und Herstellern sowie die damit verbundene Erpressbarkeit systematisch und strukturell zu verringern,
c) um die Förderung von Open-Source-Produkten beziehungsweise den Umstieg auf Open-Source-Produkte im Virtualisierungsbereich durch den Bund zu stärken,
d) um eine Exit-Strategie mit Bezug auf VMware bereitzuhalten, wie es unter anderem in der IT-Strategie des Bundes empfohlen wird, um Risiken von Lock-in-Effekten zu senken (IT-Strategie des Bundes – Handlungsfeld Cloud vom 2. November 2023; www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitaler-wandel/it-strategie/it-strategie-handlungsfeld_cloud_bf.pdf)?
Wie hat die Bundesregierung seit 2018 die Entwicklung, Verbesserung oder Nutzung von Open Source Software für die IT-Virtualisierung von Servern und Rechenzentren (zum Beispiel Proxmox, XCP-ng, Open Nebula, OpenShift) unterstützt, beispielsweise durch entsprechende Auftragsvergaben (bitte Aufträge oder andere unterstützend wirkende Leistungen beschreibend auflisten)?
a) Mit welchen anderen Maßnahmen hat die Bundesregierung die (Weiter-)Entwicklung von Open Source Software für IT-Virtualisierung gefördert, zum Beispiel über den Sovereign Tech Fund, oder plant sie derartige Fördermaßnahmen?
b) Erwägt die Bundesregierung, künftig dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) auch Aufträge zur Förderung und Weiterentwicklung von Open Source Software-Produkten zur IT-Virtualisierung zu erteilen?
c) Welche Rolle spielen nach Ansicht der Bundesregierung die Deutsche Verwaltungscloudstrategie und das Informationstechnikzentrum Bund (ITZBund) für den Einsatz von Open Source Software-Virtualisierungsprodukten?