Weekly Backlog KW 53/2025

🧠 Editorial – Silvester mit Restlogfiles

31.12.2025. Während viele Tech-Jahresrückblicke so tun, als wäre alles ein Feature-Release gewesen, liefern diese letzten Tage des Jahres eine unangenehm klare Botschaft: Wir haben kein Erkenntnisproblem. Wir haben ein Umsetzungsproblem.

Ob Chaos Communication Congress, Domain-Chaos beim Bund oder der Deutschland-Stack – überall liegen Analysen, Warnungen und Alternativen offen auf dem Tisch. Und trotzdem bleibt digitale Souveränität politisch eine Fußnote, organisatorisch ein Pilotprojekt und technisch oft ein Feigenblatt auf proprietären Plattformen.

Diese Ausgabe ist deshalb länger. Nicht aus Nostalgie, sondern weil die Themen es verlangen. Wer heute Nacht auf ein besseres digitales Jahr 2026 anstoßen will, sollte wissen, woran es realistisch scheitern kann – und woran nicht.

🚨 Die Tech-News der Woche

Der CCC und die Machtfrage: Was der 39C3 über Technologiepolitik verrät

Der 39. Chaos Communication Congress (39C3) in Hamburg ist kein Event, das man besucht, um neue Gadgets zu sehen. Er ist ein politischer Ort – nur mit besserer technischer Kompetenz als viele Ministerien.

Mit rund 16.000 Teilnehmenden und 165 Vorträgen liefert der Congress eine verdichtete Bestandsaufnahme globaler Technologiepolitik. Das Motto „Power Cycles" beschreibt dabei keine abstrakte Theorie, sondern einen beobachtbaren Prozess: Staaten verlieren Gestaltungsmacht, während technologische Kontrolle sich bei wenigen Plattform- und Infrastrukturakteuren konzentriert – überwiegend außerhalb Europas.

Besonders bemerkenswert ist die Einordnung von Künstlicher Intelligenz. Der CCC behandelt KI nicht als Produktivitätsbooster, sondern explizit als Machtinstrument. Als Technologie, die bestehende ökonomische Eliten stärkt, kreative Arbeit verdrängt und Entscheidungsprozesse zentralisiert. Diese Perspektive fehlt fast vollständig in politischen Debatten, die KI entweder als Standortfaktor oder als Verwaltungsbeschleuniger verhandeln.

Gleichzeitig formuliert der CCC einen Gegenentwurf: offene Software, offene Protokolle, offene Schnittstellen. Nicht aus Idealismus, sondern aus politischer Notwendigkeit. Digitale Souveränität entsteht hier nicht durch nationale Clouds oder europäische Branding-Initiativen, sondern durch überprüfbare Technik, gemeinschaftliche Entwicklung und echte Kontrolle über Infrastruktur.

Dass heise online vor Ort berichtet, ist folgerichtig. Der Congress ist kein Szene-Treffen, sondern ein Seismograph. Wer hier zuhört, erkennt Fehlentwicklungen früher – und Alternativen, die technisch realistisch sind. Europas Problem ist nicht fehlendes Wissen, sondern mangelnde Konsequenz, diese Stimmen in reale Politik zu übersetzen.

🔗 https://www.heise.de/news/Chaos-Communication-Congress-Der-39C3-hat-begonnen-11125134.html

Domain-Chaos des Bundes: Wenn der Staat seine eigene Identität nicht kennt

Der heise-online-Beitrag zum Domain-Chaos der Bundesregierung legt ein Problem offen, das so banal wie gefährlich ist: Der deutsche Staat weiß selbst nicht zuverlässig, unter welchen Domains er offiziell im Netz auftritt – und erklärt diese Informationen teilweise sogar zur Verschlusssache.

Dabei ist eine Domain im digitalen Raum das, was ein Siegel auf Papier war: ein Identitätsnachweis. Genau diese Funktion erfüllt der Staat nicht. Stattdessen existiert ein historisch gewachsener Wildwuchs aus .de-Domains, Projektadressen, Relikten alter Ministerien und halbherzigen bund.de-Konstruktionen. Für Bürgerinnen und Bürger ist kaum erkennbar, was offiziell ist und was nicht.

Erst durch die Arbeit des IT-Sicherheitsforschers Tim Philipp Schäfers wurden über 2.000 Bundes-Domains zusammengetragen. Nicht durch staatliche Dokumentation, sondern durch Scraping, DNS-Analysen und Suchmaschinen. Allein das ist bereits ein politisches Armutszeugnis.

Besonders problematisch ist die zugrunde liegende Denkweise: Security by Obscurity. Teile der Bundesregierung glauben offenbar, dass Geheimhaltung Sicherheit erzeugt. Technisch ist diese Annahme widerlegt. Angreifer benötigen keine offiziellen Domain-Listen – DNS-Scans, Zertifikatstransparenz und Suchmaschinen liefern diese Informationen automatisiert. Geheimhaltung verhindert nicht Angriffe, sondern Kontrolle.

Die Folgen sind real: imitierte Behördenwebsites bei Corona-Hilfen, abgelaufene Domains des Bundes in fremder Hand, Tippfehler-Domains wie „bund.ee", die auf dem 39C3 demonstriert wurden. Das sind keine theoretischen Risiken, sondern gelebte Praxis.

Andere Staaten lösen dieses Problem seit Jahren pragmatisch – die USA mit .gov, Großbritannien mit gov.uk. Deutschland diskutiert über gov.de, beschließt es 2024 und setzt es 2025 kaum um. Solange Bürger raten müssen, ob eine URL echt ist, hat der Staat seine digitale Verantwortung nicht erfüllt.

🔗 https://www.heise.de/news/Malware-Betrug-Co-Riskantes-Domain-Chaos-der-Bundesregierung-enthuellt-11126024.html

Deutschland-Stack: Digitale Souveränität als Fußnote

Der Deutschland-Stack soll laut Bundesregierung das zentrale Digitalisierungsprojekt für Verwaltung und Wirtschaft werden. Eine einheitliche Infrastruktur, interoperabel, souverän, zukunftsfähig. Was netzpolitik.org offenlegt, zeigt jedoch das Gegenteil: ein intransparenter Prozess, unverbindliche Kriterien und politische Eile, die vor allem großen Tech-Anbietern nützt.

Das Bundesministerium für Digitales und Staatsmodernisierung setzt auf Tempo – erkauft es sich aber mit inhaltlicher Verwässerung. Digitale Souveränität wird nicht klar definiert, sondern zu einem dehnbaren Schlagwort. Open Source, gesetzlich eigentlich priorisiert, taucht bestenfalls am Rand auf.

Der Konsultationsprozess ist symptomatisch: Stellungnahmen sind öffentlich, zentrale Workshops finden hinter verschlossenen Türen statt. Wer eingeladen war, was diskutiert wurde, welche Schlussfolgerungen gezogen wurden – bleibt unklar. Die zeitweise Nichtnennung der Zivilgesellschaft als Zielgruppe ist kein Versehen, sondern ein politisches Signal.

Besonders kritisch sind die Kriterien selbst. Sie sind bewusst folgenlos formuliert. Selbst wenn Lösungen zentrale Anforderungen an Interoperabilität oder Souveränität verfehlen, hat das keine Konsequenzen. Es gibt keine Ausschlussmechanismen, keine roten Linien. Der Kriterienkatalog beschreibt Zustände, erzwingt aber nichts.

Die Definition digitaler Souveränität ist dabei nahezu beliebig: Einfluss auf Datenstandorte zählt zu 20 Prozent, Community-Beteiligung zu 40 Prozent, ein Anbieterwechsel gilt als ausreichend, wenn er „mit überschaubarem Aufwand" möglich wäre. Das entkernt den Begriff vollständig.

Hinzu kommt die Ignoranz gegenüber geltendem Recht. Das E-Government-Gesetz verpflichtet Bundesbehörden zur vorrangigen Beschaffung von Open Source. Trotzdem werden weiterhin Ausschreibungen formuliert, die faktisch auf Hyperscaler zugeschnitten sind. Der Deutschland-Stack institutionalisiert diese Praxis – statt sie zu korrigieren.

🔗 https://netzpolitik.org/2025/deutschland-stack-open-source-vor-verschlossenen-tueren/

Souveränitätsbarometer: Die Zahlen bestätigen das politische Versagen

Die neue Studie von next:public, veröffentlicht bei egovernment.de, liefert keine Überraschung – aber eine schonungslose Quantifizierung.

65 % der Verwaltungen sehen sich stark oder sehr stark von außereuropäischen IT-Anbietern abhängig, bei Kommunen sind es 70 %. Besonders betroffen: Bürosoftware, Betriebssysteme und Kollaborationstools. Also genau die Ebene, auf der tägliche Verwaltungsarbeit stattfindet.

Der Lock-in ist tief. Über die Hälfte der Befragten empfindet einen Anbieterwechsel selbst zu europäischen Lösungen als unflexibel. Mehr als 40 % können nicht einmal ein Viertel ihrer Fachverfahren eigenständig anpassen. Das ist keine digitale Souveränität, sondern strukturelle Fremdbestimmung durch frühere Architekturentscheidungen.

Besonders relevant ist der Blick auf die Cloud: Zwei Drittel der Anwendungen laufen noch On-Premises. Die viel zitierte Cloud-Transformation steht also erst bevor. Genau hier liegt die strategische Weggabelung. Ohne politische Leitplanken werden bestehende Abhängigkeiten nicht reduziert, sondern in Lizenzverträge übersetzt.

Die Studie benennt klare Voraussetzungen: starke öffentliche IT-Dienstleister, echte Berücksichtigung europäischer Cloud-Angebote, verbindliche Beschaffungsstrategien. Das Problem ist nicht fehlendes Wissen – sondern fehlender Wille.

🔗 https://www.egovernment.de/souveraenitaetsbarometer-der-oeffentlichen-it-veroeffentlicht-a-789adc035db4f8af05c95a984526691b/

CRA-Standardisierung: Transparenz ersetzt noch keine digitale Souveränität

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet Fortschritte beim Cyber Resilience Act (CRA) und verweist auf ein neues CRA-Dashboard. Rund 20 Mitarbeitende arbeiten aktiv in europäischen Standardisierungsgremien, der Zeitplan sei ambitioniert, die Arbeiten gut vorangekommen.

Das Dashboard schafft Transparenz – und das ist gut. Aber Transparenz ist nicht gleich Gestaltungsmacht. Beim CRA entscheidet nicht der Gesetzestext, sondern die Standards. Sie definieren, was „Security by Design" praktisch bedeutet und welche Anforderungen tatsächlich gelten.

Standardisierung ist seit Jahren ein Spielfeld großer Industrieakteure. Globale Plattformanbieter verfügen über Ressourcen, Personal und strategische Erfahrung – und ein klares Interesse daran, Anforderungen so zu formulieren, dass bestehende Geschäftsmodelle möglichst wenig verändert werden.

Der häufig beschworene „breite Konsens" ist dabei ambivalent. Konsens endet oft beim kleinsten gemeinsamen Nenner. Für den CRA wäre das fatal. Sicherheitsanforderungen, die sich am Status quo orientieren, legitimieren Risiken statt sie zu reduzieren.

Hinzu kommt die Frage nach Open Source. Zwar sieht der CRA Ausnahmen vor, doch ob diese in den Standards praktikabel umgesetzt werden, entscheidet sich jetzt. Ohne klare politische Leitlinie droht Open Source regulatorisch überfordert zu werden – mit massiven Folgen für europäische digitale Infrastruktur.

🔗 https://www.linkedin.com/posts/bsibund_cradashboardzeitstrahl-ugcPost-7411768057976729600-QNLO/

💬 LinkedIn-Beitrag der Woche

6G: Die USA organisieren Macht – und zwar jetzt

Der LinkedIn-Beitrag von Sebastian Barros beschreibt keine Vision, sondern eine industriepolitische Entscheidung. Mit einem Presidential Memorandum ordnet die US-Regierung an, staatlich kontrollierte Funkfrequenzen frühzeitig für 6G freizumachen – Jahre früher als im 5G-Zyklus.

Die Lehre aus 5G ist klar: China handelte früh, bündelte Frequenzen, koordinierte Industrie und Standards. Die USA reagierten zu spät. Für 6G soll sich das nicht wiederholen. Frequenzpolitik, Halbleiter, Cloud, Endgeräte, Standards und Netzbetreiber werden synchronisiert.

Barros beschreibt acht Bausteine dieses Machtgefüges – von Nvidia im AI-RAN, über AWS, Azure und Google im Netzbetrieb bis zur dominanten Rolle der USA in der 3GPP. 6G wird als kritische Infrastruktur behandelt, nicht als Konsumtechnologie.

Europa hingegen bleibt fragmentiert. Keine Cloud-Strategie, keine klare Position zu offenen Netzarchitekturen, keine koordinierte Machtpolitik. Wer Standards früh setzt, bestimmt Abhängigkeiten für Jahrzehnte. Die USA handeln danach. Europa verwaltet.

🔗 https://www.linkedin.com/posts/sebastianbarros_us-goes-all-in-for-6g-dominance-president-activity-7411043392564084736-rGH_

🧪 Empfehlungen zum Jahresende

Blogpost-Empfehlung: Deutschland-Stack – Architektur ist beschlossen, Betrieb ist die eigentliche Machtfrage

Der Blogpost von Fabian Peter setzt dort an, wo politische Debatten meist enden: beim Betrieb. Eine Referenzarchitektur schafft keine Souveränität, wenn Betrieb, Sicherheit und Kontrolle fehlen.

Anhand konkreter Betriebsmodelle zeigt er, was Cloud-Native wirklich bedeutet: Infrastructure as Code, Kubernetes, GitOps, Observability, Identity und Security als integrierte Schichten. Nicht als Nachrüstlösung.

Der Text trennt sauber zwischen Architekturversprechen und operativer Realität – und macht klar: Souveränität beginnt nicht mit Open Source, sondern mit Kontrolle über Betrieb und Abhängigkeiten.

🔗 https://ayedo.de/posts/der-deutschland-stack/

Medien-Empfehlung: Proxmox vs. OpenStack – Cloud ist Netzwerk

Das YouTube-Video von hochleistungsnerd und Daniel Menzel liefert eine seltene Kombination: technische Tiefe ohne Marketingfilter.

Der zentrale Punkt: Cloud ist zuerst Netzwerk. Nicht UI, nicht API, nicht Feature-Listen. Entlang von Netzwerkdesign, Storage, Backup und Automatisierung wird erklärt, warum Proxmox und OpenStack unterschiedliche, aber valide Ansätze sind – wenn man ihre Grenzen versteht.

Gerade für Organisationen auf der Suche nach VMware-Alternativen oder souveränen Private-Cloud-Ansätzen ist das Pflichtprogramm.

🔗 https://www.youtube.com/watch?v=4QTQfvmRTeA

Podcast-Empfehlung: Digitale Souveränität der EU – machbar oder unrealistisch?

Der Podcast der Hans-Böckler-Stiftung stellt die entscheidende Frage: Nicht ob digitale Souveränität wünschenswert ist, sondern ob sie politisch gewollt und organisatorisch durchsetzbar ist.

Diskutiert werden öffentliche Beschaffung, staatliche Verantwortung und der systematische Aufbau offener digitaler Infrastrukturen. Die zugrunde liegende Studie zeigt: Ohne aktive Rolle des Staates bleibt Open Source Randerscheinung.

Eine nüchterne, unaufgeregte und sehr lohnende halbe Stunde.

🔗 https://www.boeckler.de/de/podcasts-22421-digitale-souveraenitat-der-eu-machbar-oder-unrealistisch-73750.htm

🥂 Zum Schluss

2025 endet mit Klarheit. Die Probleme sind vermessen, die Risiken benannt, die Alternativen bekannt.

2026 wird zeigen, ob daraus Machtpolitik wird – oder weiter PowerPoint.

Guten Rutsch. Und möglichst wenig Lock-in im neuen Jahr.