Laut TeleTrusT-Analyse ist der „Deutschland-Stack“ in der aktuellen Ausprägung noch zu stark als rein technische Bausteinliste konzipiert

[datensicherheit.de, 16.02.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat zum sogenannten Deutschland-Stack Stellung bezogen: Dieser ist demnach „eine strategisch richtige und notwendige Initiative, um die digitale Handlungsfähigkeit des Staates langfristig zu sichern“. Auch wenn das gewählte Vorgehensmodell eines Konsultationsverfahrens ausdrücklich begrüßt wird, offenbare indes die TeleTrusT-Analyse, dass der „Deutschland-Stack“ in der aktuellen Ausprägung „noch zu stark als technische Bausteinliste“ gedacht sei. Für belastbare Wirkung im öffentlichen Sektor sei jedoch „ein klar geführtes Gesamtbetriebsmodell aus Architektur, ,Governance’, Sicherheit und Verantwortung“ erforderlich. Für das weitere Verfahren bietet der TeleTrusT dem Bundesministerium für Digitales und Staatsmodernisierung (BMDS) aktive Unterstützung und Mitwirkung an.

Abbildung: Bundesverband IT-Sicherheit e.V.

TeleTRusT-Positionspapier zum „Deitschland-Stack“ 2026

„Deutschland-Stack“ muss über reine Ansammlung technischer Standards, Module und Services hinausgehen

Aus TeleTrusT-Sicht stellt der Deutschland-Stack eine wesentliche Initiative dar, „um die digitale Infrastruktur insbesondere im ,Public Sector’ resilient, skalierbar und zukunftsfähig aufzustellen“.

• Insofern begrüßt der TeleTrusT sowohl das Vorhaben selbst als auch den gewählten Weg der Konsultation mit einer breiten Einbeziehung aller relevanten Stakeholder „ausdrücklich“.

In seinem aktuellen TeleTrusT-Positionspapier wird neben zahlreichen inhaltlichen Kommentierungen, Ergänzungen und Anmerkungen dargestellt, dass der „Deutschland-Stack“ mehr sein müsse als eine reine „Ansammlung“ technischer Standards, Module und Services.

Geeignetes Zusammenspiel und Zusammenwirken von Technologie, Infrastruktur und „Governance“ erforderlich

Der TeleTrusT zeigt sich überzeugt, dass die gewünschten Anforderungen an den „Deutschland-Stack“ nur dann erfüllt werden können, „wenn neben den erforderlichen technischen Festlegungen auch ein Betriebs-, ,Governance’- und Infrastrukturmodell entwickelt wird, das die unterschiedlichen technischen Elemente verbindet“.

• Dies gelte insbesondere für den Bereich der Informations- und Cybersicherheit, genauso aber auch für notwendige Elemente wie Skalierbarkeit, Verfügbarkeit und Resilienz.

Dabei handele es sich um Eigenschaften, welche sich nicht allein durch das Zusammenfügen geeigneter Technologien und Standards ergäben, sondern sie erforderten ein geeignetes Zusammenspiel und Zusammenwirken von Technologie, Infrastruktur und „Governance“. Dies könne nur erreicht werden, „wenn all das bereits von Anfang an konsequent in den Architekturzielen und -prinzipien mitgedacht wird“.

TeleTrusT benennt Lücken in der aktuellen Konzeption

Die Ausrichtung von Standards und Technologien passe grundsätzlich zu den strategischen Zielen (Souveränität, Sicherheit, Interoperabilität, Zukunftsfähigkeit, Resilienz) – eben dann, „wenn sie nicht als reine ,Tool’-/Bausteinliste verstanden wird, sondern als verbindlich gesteuertes Gesamtmodell“.

Es gibt laut TeleTrusT eben noch Lücken in der aktuellen Konzeption:

• Zu starke Technologiekatalog-Logik
  Es fehle ein verbindliches „Target Operating Model“ aus Architektur, „Governance“, Betrieb und Verantwortung.
• Sicherheitsrahmen nicht durchgängig genug
  Einzelstandards (z.B. AES/RSA, OAuth/OIDC/JWT) reichten nicht – nötig sei ein lifecycle-basiertes Sicherheitsmanagement mit Risiko-, Audit- und Verbesserungszyklus.
• Teilweise unklare / inkonsistente Standardreferenzen
  Insbesondere bei Kryptographie wird vom TeleTrusT  auf bessere Anbindung an aktuelle BSI-Vorgaben (TR-02102) hingewiesen.
• Komplexitätsrisiko
  Ohne ganzheitliche Infrastruktur drohe ein „Flickenteppich“, welcher Sicherheit, Betrieb und Skalierung verschlechtere.
• „Cloud / Managed Services“ missverstanden
  Der TeleTrusT betont: „Das sind Betriebsmodelle, keine Sicherheitsgarantie: Sicherheit entsteht durch Architektur und technische Kontrollpunkte!“

Verbindlichkeit der Vorgaben zur Informations- und Cybersicherheit von besonderer Relevanz und Bedeutung

Die priorisierten Technologiefelder seien in Teilen mit relevanten Technologien und Standards unterlegt (vor allem Infrastruktur, Betriebsmodelle, Sicherheitsprinzipien), aber noch nicht vollständig.

• Es fehlten zentrale Security- und Betriebsbausteine, eine konsolidierte Standardreferenz (insbesondere Kryptographie nach BSI) und eine durchgängige, verbindliche Methodik statt punktueller Nennungen.

Der TeleTrusT empfiehlt eine Klärung der Umsetzungsverbindlichkeit der Vorgaben des „Deutschland-Stack“ für die verschiedenen Stakeholder (insbesondere Bund, Länder und Kommunen). Dabei ist aus Sicht des TeleTrusT die Verbindlichkeit der Vorgaben des „Deutschland-Stack“ zur Informations- und Cybersicherheit von besonderer Relevanz und Bedeutung.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

Bundesverband IT-Sicherheit e.V. TeleTrusT, TeleTrusT-Arbeitsgruppe „Cyber-Nation“, 16.02.2026
„Deutschland-Stack“ Positionspapier 2026 – Kommentierung im Rahmen der 2. Konsultation des Bundesministeriums für Digitales und Staatsmodernisierung

Bundesministerium für Digitales und Staatsmodernisierung
Deutschland-Stack

datensicherheit.de, 18.01.2026
Deutschland-Stack: Bitkom kommentiert zweite Beteiligungsrunde / Dr. Bernhard Rohleder hebt dessen zentrale Bedeutung hervor und begrüßt das Voranschreiten der Entwicklung dieser nationalen souveränen Technologie-Plattform für die Digitalvorhaben in Deutschland

datensicherheit.de, 06.12.2025
Deutschland-Stack: eco benennt klare Linie und Technologieoffenheit als Erfolgsfaktoren / Der Deutschland-Stack (D-Stack) ist laut eco eines der zentralen Digitalisierungsvorhaben dieser Legislatur – damit er zum Erfolg werden kann, müssen die Kriterien unbedingt klar definiert, konsistent ausgestaltet und technologieoffen angewendet werden

datensicherheit.de, 04.12.2025
Deutschland-Stack – Dirk Arendt fordert Cybersicherheit als strategischen Grundpfeiler / Der „Deutschland-Stack“ soll die ambitionierte Vision einer souveränen digitalen Verwaltung repräsentieren – Trend Micro erinnert an die zentrale Rolle der Cybersicherheit als Fundament dieser nationalen Infrastruktur