Microsoft und die Bundesverwaltung – Abhängigkeiten, Kosten, Lobbyismus, IT-Sicherheit, No-Spy-Klausel und Delos Cloud
der Abgeordneten Anke Domscheit-Berg, Dr. André Hahn, Gökay Akbulut, Clara Bünger, Nicole Gohlke, Jan Korte, Ina Latendorf, Cornelia Möhring, Petra Pau, Sören Pellmann, Victor Perli, Martina Renner, Dr. Petra Sitte, Kathrin Vogler und der Gruppe Die Linke
Vorbemerkung
Der Bund nutzt Microsoft-Produkte in großem Umfang. Im Jahr 2017 betrugen die Ausgaben für Microsoft-IT-Services und Lizenzen schon 74 Mio. Euro. Im Jahr 2023 beliefen sich die Kosten dafür jedoch bereits auf 198 Mio. Euro, wobei mehr als die Hälfte davon auf Lizenzgebühren entfiel (https://www.heise.de/news/Bund-Lizenzkosten-fuer-Microsoft-auf-hohem-Niveau-insgesamt-neuer-Rekord-9744319.html). Im Zuge der auslaufenden On-Premise-Lösungen für Microsoft Office-2016, -2019 und -2021 in den Jahren 2025/2026 (https://www.chip.de/news/Diese-zwei-Office-Pakete-erhalten-bald-keinen-Support-mehr_175192642.html) ist künftig nach Ansicht der Fragestellenden mit deutlich weiter steigenden Lizenzkosten zu rechnen, wenn weiterhin in vergleichbarem Umfang Microsoft-Produkte eingekauft werden. Die derzeitigen Rahmenverträge mit Microsoft über 1,3 Mrd. Euro laufen im Mai 2025 aus (Bundestagsdrucksache 20/9641, Antwort zu Frage 18). Es ist daher davon auszugehen, dass Verhandlungen über neue Rahmenverträge bereits geführt werden.
Gleichzeitig gibt es Gespräche dazu, inwiefern Microsoft-Produkte wie Azure dafür genutzt werden könnten, um die deutsche Verwaltung in die Cloud zu migrieren (https://osb-alliance.de/featured/sondersitzung-des-it-planungsrates-keine-ueberhasteten-vertraege-fuer-die-delos-cloud-beschliessen). Dabei besteht nach Ansicht der Fragestellenden ein möglicherweise unmittelbarer Zusammenhang zur künftigen Nutzung von Microsoft 365 als Abo-Modell, weil sich dieses nur in einer Azure-basierten Cloud betreiben lässt. Über den tatsächlichen Ablauf der Verhandlungen zu Rahmenverträgen mit Microsoft-Produkten ist hingegen nur wenig bekannt. Auf parlamentarische Anfragen wie die Schriftliche Frage 33 der Abgeordneten Anke Domscheit-Berg auf Bundestagsdrucksache 20/11198 reagierte die Bundesregierung ausweichend. Worüber bezüglich Microsoft und insbesondere die auf Microsoft Azure basierende Delos Cloud im IT-Planungsrat bisher gesprochen wurde, ist ebenfalls nicht öffentlich, weil lediglich Beschlussprotokolle der Sitzungen veröffentlicht werden. Dazu gehört auch eine außerordentliche Sitzung des IT-Planungsrates vom 27. Juni 2024, die ausschließlich oder fast ausschließlich die Delos Cloud zum Thema hatte.
Geplante Entscheidungen von zentraler Bedeutung über die Nutzung von Microsoft-Produkten kommen nur durch Initiativen von Verbänden wie der Open Source Buisness Alliance (OSBA) an die Öffentlichkeit, die in einem offenen Brief vom 25. Juni 2024 eindringlich davor warnte, dass der oben erwähnten Sondersitzung des IT-Planungsrates vom 27. Juni 2024 der umfassende Roll-Out von Azure in Gestalt der Delos Cloud in der deutschen Verwaltung auf Bundes- und Länderebene beschlossen werden solle – nach Darstellung der OSBA sei der Druck dazu vom Bundeskanzleramt ausgegangen (www.osb-alliance.de/featured/sondersitzung-des-it-planungsrates-keine-ueberhasteten-vertraege-fuer-die-delos-cloud-beschliessen). Die Bundesregierung informierte vorher nicht darüber und stellte auch keinen Raum für eine öffentliche Debatte zu dieser geplanten Richtungsentscheidung zur Verfügung.
In der vorliegenden Kleinen Anfrage sollen deshalb Informationen über laufende Gespräche im Zusammenhang mit der Beschaffung von Microsoft-Produkten erfragt werden, und wie die derzeitigen Pläne bezogen auf Microsoft-Produkte mit den Anforderungen an die Transparenz des Regierungshandelns, den Datenschutz, die IT-Sicherheit, digitale Souveränität, mehr Open-Source-Software und verantwortungsvolles Ausgeben von Steuergeld in Einklang gebracht werden sollen.
Wir fragen die Bundesregierung:
Fragen20
Welche Treffen gab es seit dem 1. Januar 2022 zwischen Microsoft und der Bundesregierung, einschließlich ihrer nachgeordneten Behörden und des Bundeskanzleramts auf den Ebenen der Hausspitze, Behördenleitungen und ihren Stellvertretungen, Staatssekretärs- und Abteilungsleitungen (bitte angeben, wer wen wann traf, wenn Namen nicht angegeben werden können, dann bitte ersatzweise die Funktion angeben)?
Zu welchen Themen und aus welchem Anlass fanden die in Frage 1 erfragten Treffen jeweils statt (bitte explizit erwähnen, wenn es bei diesen Gesprächen auch um Rahmenverträge, insbesondere um die Erneuerung von Rahmenverträgen und deren Konditionen ging, vor allem um die Möglichkeit, Microsoft Office weiterhin On Premise, also auch ohne (Microsoft-)Cloud zu nutzen)?
Welche weiteren Treffen, bei denen Microsoft-Produkte ein wesentliches Thema waren, fanden im selben Zeitraum nicht direkt mit Microsoft statt, sondern mit juristischen Personen, die Microsoft-Produkte zum möglichen Einsatz beim Bund anbieten oder zu derartigen Angeboten informieren oder beraten (bitte angeben, wer wen wann traf, wenn Namen nicht angegeben werden können, dann bitte ersatzweise die Funktion angeben)?
Zu welchen Themen und aus welchem Anlass fanden die in Frage 3 erfragten Treffen jeweils statt (bitte explizit erwähnen, wenn es bei diesen Gesprächen auch um Rahmenverträge, insbesondere um die Erneuerung von Rahmenverträgen und deren Konditionen ging, vor allem um die Möglichkeit, Microsoft Office weiterhin On Premise, also auch ohne (Microsoft-)Cloud zu nutzen)?
Ist die Möglichkeit, Microsoft-Office-Anwendungen On Premise, also auch ohne (Microsoft-)Cloud zu nutzen, Verhandlungsgegenstand oder Verhandlungsbedingung bei den Gesprächen zur Verlängerung der Rahmenverträge zu Microsoft-Lizenzen, die im Jahr 2025 auslaufen, und wie wichtig ist der Bundesregierung die souveräne Nutzung von Microsoft-Anwendungen On Premise?
Wann in den letzten Monaten und auf welche Weise hat die Bundesregierung Kenntnis davon erlangt, dass Microsoft seine Office-Anwendungen auch für Nutzende der Bundesverwaltung perspektivisch nur noch in der Cloud anbieten wird (vgl. Antwort zu Frage 8 auf Bundestagsdrucksache 20/9641 vom 6. Dezember 2023 mit der Angabe der Bundesregierung, dass ihr zu diesem Zeitpunkt nichts davon bekannt sei) oder hat die Bundesregierung weiterhin keine Kenntnis davon?
Welche Treffen gab es seit dem 1. Januar 2022 zwischen Vertretenden des Unternehmens SAP und der Bundesregierung, einschließlich ihrer nachgeordneten Behörden und des Bundeskanzleramts auf den Ebenen der Hausspitze, Behördenleitungen und ihren Stellvertretungen, Staatssekretärs- und Abteilungsleitungen (bitte angeben, wer wen wann traf, wenn Namen nicht angegeben werden können, dann bitte ersatzweise die Funktion angeben), und bei welchen dieser Treffen war die auf Microsoft Azure basierende Delos Cloud ein Thema?
Wie positioniert sich die Bundesregierung zu den Bedenken, die im offenen Brief der Open Source Business Alliance vom 25. Juni 2024 (https://osb-alliance.de/featured/sondersitzung-des-it-planungsrates-keine-ueberhasteten-vertraege-fuer-die-delos-cloud-beschliessen) anlässlich der IT-Planungsrat-Sondersitzung am 27. Juni 2024 geäußert wurden, insbesondere bezogen auf die darin geäußerten Bedenken in Verbindung mit einer Nutzung der Delos Cloud hinsichtlich
a) Datenschutz,
b) IT-Sicherheit (auch mit Blick auf diverse erfolgreiche Angriffe auf Microsoft-Infrastrukturen in den letzten zwölf Monaten),
c) digitaler Souveränität,
d) möglicher Widersprüche zu Ankündigungen im Koalitionsvertrag zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP hinsichtlich strenger Transparenzvorgaben beim Aufbau der deutschen Verwaltungscloud und
e) grundsätzlicher Beauftragung von Entwicklungsaufträgen als Open-Source-Software?
Warum wurde die Sondersitzung des IT-Planungsrates vom 27. Juni 2024 anberaumt, und auf wessen Initiative hin?
a) Was wurde hinsichtlich der Delos Cloud auf dieser Sondersitzung besprochen?
b) Gab es den Versuch, eine Vereinbarung oder Absichtserklärung (oder Ähnliches) hinsichtlich einer Nutzung der Delos Cloud zu erreichen, und wenn ja, von welcher Seite kam dieser Versuch?
c) Mit welchen Argumenten wurde von einer solchen Vereinbarung oder Absichtserklärung Abstand genommen?
d) Was wurde als weiteres Vorgehen besprochen und festgehalten?
Trifft es zu, dass die Delos Cloud auch Thema bei der Ministerpräsidentenkonferenz (MPK) im Juni 2024 war, und trifft es zu, dass sich Bundeskanzler Olaf Scholz dort für die Nutzung der Delos Cloud durch Bund und Länder ausgesprochen hat?
a) Wenn ja, was waren die Argumente von Bundeskanzler Olaf Scholz zugunsten der Delos Cloud?
b) Warum hat sich der Bundeskanzler, der sonst wenig mit digitalen Themen in Verbindung gebracht werden konnte, für dieses Thema so engagiert, und welches Ziel wollte beziehungsweise will er hinsichtlich der Nutzung der Delos Cloud bei Bund und Ländern erreichen?
c) Trifft es zu, dass sich der Bundeskanzler noch kurz vor der MPK mit dem Chef der SAP Christian Klein traf, und war die Ansprache der Delos Cloud auf der MPK Thema dieses Treffens (vgl. Handelsblattbericht vom 10. Juli 2024, Ausgabe 131)?
d) Was waren die Gegenargumente vonseiten anderer Teilnehmenden der MPK?
e) Gab es irgendwelche Vereinbarungen oder Absichtserklärungen mit Bezug auf die Delos Cloud bei dieser MPK?
f) Was wurde als weiteres Vorgehen besprochen?
Welche längerfristigen Folgen für die Lizenz-Ausgaben für Microsoft-Produkte hätte nach Einschätzung der Bundesregierung ein Auslaufen der On-Premise-Option von Microsoft Office für den Bund?
Kann die Bundesregierung ausschließen, dass ein Zusammenhang zwischen der offensichtlich angestrebten Beschaffung und jedenfalls Befürwortung der Delos Cloud (vgl. Werbung von Bundeskanzler Olaf Scholz bei der MPK im Juni 2024, Handelsblatt vom 10. Juli 24, Ausgabe 131) und den in den nächsten Jahren auslaufenden On-Premise-Lizenzen für bisher genutzte Microsoft-Produkte besteht?
Trifft es zu, dass die Bundesregierung bei der Nutzung der Delos Cloud IPV6-Adressen von Microsoft benutzen muss, statt auf die eigene, umfangreiche Reserve von IPV6 Adressen zurückzugreifen?
a) Wenn ja, gibt es bereits Gespräche oder Verhandlungen mit Microsoft oder Dritten zur potenziellen Übernahme beziehungsweise Nutzung von Microsoft-IPV6-Adressen, und wenn dies zutrifft, was war Gegenstand dieser Gespräche?
b) Hat der Bund bereits IPV6-Adressen, die nicht aus seinem eigenen Adresskreis stammen, von Dritten zur Nutzung erworben, und gehören dazu IPV6-Adressen von Microsoft?
c) Welche zusätzlichen Kosten sind oder wären durch den Bund voraussichtlich zu tragen, wenn zur Nutzung der Delos Cloud IPV6-Adressen von Microsoft genutzt werden (bitte auf verschiedene Szenarien je nach Menge der erforderlichen IPV6-Adressen eingehen, wenn eine genauere Anzahl benötigter IPV6-Adressen möglicherweise noch nicht bekannt ist, insbesondere bestehende Angebote von Microsoft oder Dritten nennen, die die Überlassung von Microsoft-IPV6-Adressen zum Gegenstand haben und ihre Konditionen nennen, insbesondere die Anzahl der IPV6-Adressen und die Kosten insgesamt oder je IPV6-Adresse)?
Bedeutet die Nutzung von Microsoft-IPV6-Adressen durch den Bund, beispielsweise bei Nutzung von Microsoft 365 über die Delos Cloud, dass dabei eine Verbindung besteht zwischen den Clients der Nutzenden, den Netzen des Bundes und dem Kernnetz von Microsoft?
a) Werden in diesem Szenario Software-Updates für eine vom Bund genutzte Delos Cloud über eine Festnetz-Schnittstelle zwischen den Netzen des Bundes und dem Kernnetz von Microsoft ausgeführt?
Welche Konsequenzen ergäben sich aus Sicht der Bundesregierung aus einer Nutzung von Microsoft-IPV6-Adressen durch den Bund mit Blick auf
a) die digitale Souveränität der Bundes-IT,
b) die IT-Sicherheit (und welche Einschätzung des Bundesamts für Sicherheit in der Informationstechnik [BSI] dazu ist der Bundesregierung bekannt),
c) den Datenschutz (und welche Einschätzung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit [BfDI] dazu ist der Bundesregierung bekannt)?
Erfüllt die Delos Cloud die im Dokument zu Roten Linien des BSI (www.fragdenstaat.de/anfrage/rote-linien-des-bsi-fuer-cloud-angebote-fuer-die-oeff-verwaltung/707433/anhang/cloud-platform-requirements.pdf) erwähnte Voraussetzung „NdB Anbieterpflichten [NdB = Netze des Bundes] sind einzuhalten“, und wenn nein, welche NdB-Anbieterpflichten kann die Delos Cloud nicht einhalten, und was bedeutet das hinsichtlich des Überschreitens der Roten Linien des BSI (welche Einschätzung des BSI dazu ist der Bundesregierung bekannt)?
Trifft es zu, dass die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) über die Verwaltungsvorschriften Nummer 4 zu § 55 der Bundeshaushaltsordnung von allen Bundesbehörden bei der Beschaffung von IT-Leistungen verpflichtend anzuwenden sind (www.verwaltungsvorschriften-im-internet.de/pdf/BMF-IIA3-20181002-H-05-01-2-KF-009-R024a.pdf)?
Bei welchen Ausschreibungen, die Microsoft-Produkte zum Gegenstand haben und seit 1. Juni 2021 veröffentlicht wurden, wurde ein Vertrag nach EVB-IT (www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitale-loesungen/it-beschaffung/evb-it-bvb/basisvertraege/ueberlassung-typ-a/nutzerhinweise.pdf) oder EVB-IT Cloud abgeschlossen, und war die No-Spy-Klausel darin Vertragsbestandteil (bitte alle Verträge, insbesondere Rahmenverträge in diesem Zeitraum nennen und dafür die erfragten Aussagen angeben, insbesondere auflisten, welche Vertragspartner bei welchen Verträgen die No-Spy-Klausel nicht unterschrieben haben, vgl. aktuell die Anlage zum Beschluss des IT-Planungsrates 2024/01, S. 17, Abschnitt „Produkte frei von undokumentierten Funktionalitäten“, www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/cio-bund/steuerung-it-bund/beschluesse_cio-board/2024_01_Beschluss_CIO_Board_Technologieanbieter_Anlage.pdf)?
a) In wie vielen Fällen wurde überprüft, ob sich der Vertragspartner an die Vereinbarungen nach EVB-IT, EVB-IT Cloud und insbesondere die No-Spy-Klausel gehalten hat?
b) Waren jeweils Vertragsstrafen vorgesehen, und kamen diese jemals zum Tragen (wenn ja, bitte die Fälle beschreiben)?
c) Wenn Verträge mit Dritten, also nicht mit Microsoft, aber zu Microsoft-Produkten, als Rahmenvertragspartner abgeschlossen wurden, wie bewertet die Bundesregierung die objektive Fähigkeit dieser Vertragspartner, eine Freiheit von undokumentierten Funktionalitäten gemäß No-Spy-Klausel für Microsoft-Produkte zu garantieren, ohne die Software von Microsoft selbst prüfen können, weil diese proprietär und nicht offen ist, und was bedeutet das für die Verlässlichkeit einer unter diesen Voraussetzungen geschlossenen No-Spy-Klausel?
Wie bewertet die Bundesregierung die Vertrauenswürdigkeit von Unternehmen, die eine No-Spy-Klausel unterschreiben, also zusichern, dass ihre Software-Produkte nicht die Integrität, Vertraulichkeit und Verfügbarkeit von Software, Hardware oder Daten gefährden und nicht den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen und keine Backdoors enthalten, im Vergleich zu den Vertragspartnern, die die laut EVB-IT vorgesehene No-Spy Klausel nicht unterschreiben (vgl. Abschnitt 3a in der Handreichung zur technischen No-Spy-Klausel vom 1. Februar 2018: www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitale-loesungen/it-beschaffung/evb-it-bvb/basisvertraege/ueberlassung-typ-a/handreichung-no-spy-klausel.pdf)?
Was ist der Stand und der aktuelle Zeitplan des in der Antwort zu Frage 9c der Kleinen Anfrage auf Bundestagsdrucksache 20/9417 angekündigten Tool-basierten Software-Lizenzmanagements („Projekt Lizenzmanagement Bund“, „SAM-Tool des Bundes“), das im Jahr 2024 aufgebaut und in ersten Bundesbehörden eingesetzt werden soll?