[datensicherheit.de, 22.03.2026] Der Digitalverband Bitkom e.V. meldet, dass er sich mit dem Bundesministerium für Digitales und Staatsmodernisierung (BMDS) auf einheitliche Standards bei der Beschaffung von Open-Source-Lösungen verständigt hat. Das zugrundeliegende Vertragswerk kann demnach mit der Veröffentlichung und der bereits im November 2025 erfolgten Zustimmung des „IT-Planungsrats“ nun in Kraft treten: „Damit stehen öffentlichen Auftraggebern bundesweit praxistaugliche, einheitliche EVB-IT-Regelungen zur Verfügung, um Open-Source-Software in Vergabeverfahren rechtssicher zu beschaffen und zu nutzen.“ Die verschiedenen Muster der EVB-IT-Vertragsfamilie stehen online kostenfrei zur Verfügung.

Foto: Bitkom e.V.

Dr. Bernhard Rohleder: „Open Source“ kann dazu beitragen, Abhängigkeiten zu reduzieren und die Digitale Souveränität zu stärken

Open-Source-Lösungen rechtssicher und flächendeckend in der Verwaltung verankern

„Einheitliche Vertragsstandards beschleunigen die öffentliche IT-Beschaffung und machen sie rechtssicherer“, erläutert der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder.

• Er führt weiter aus: „,Open Source’ kann dazu beitragen, Abhängigkeiten zu reduzieren und die Digitale Souveränität zu stärken. Wichtig sind dafür auch bundesweit einheitliche IT-Architekturstandards, ein professioneller Betrieb sowie ein funktionsfähiger, wettbewerbsorientierter Markt.“

Die modernisierten Vertragsbedingungen seien ein entscheidender Hebel, um Open-Source-Lösungen rechtssicher und flächendeckend in der Verwaltung zu verankern und unsere Digitale Souveränität zu stärken.

Open-Source als Standard – trotzdem Wahlfreiheit erhalten

„Durch die Digitalisierung der Vertragsmuster schaffen wir Grundlagen für schnellere und zukunftsfähige Beschaffungsprozesse“, ergänzt Markus Richter, Staatssekretär im BMDS.

• Die nun vorliegenden aktualisierten Open-Source-Regelungen seien für verschiedene EVB-IT-Vertragstypen („Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen“) erarbeitet worden: Je nach Vertragstyp wüden Open-Source-Regelungen direkt in die jeweiligen AGB integriert und durch Optionen im Vertragsmuster ergänzt. Bei neuen Softwareentwicklungsprojekten werde in den EVB-IT zudem die Entwicklung und Bereitstellung als ,Open Source’ künftig als Standard abgebildet.

Gleichzeitig bleibe die Beschaffung proprietärer Software weiterhin möglich: Öffentliche Auftraggeber könnten je nach Bedarf „Open Source“ gezielt auswählen, ohne sich auf eine einzige Technologie- oder Lizenzlogik festlegen zu müssen.

Komponenten und Abhängigkeiten nachvollziehbar dokumentieren

Neu seien außerdem praxisnahe Optionen, um Transparenz und Nachnutzbarkeit zu verbessern – etwa durch Vereinbarungen zur Softwarebereitstellung sowie die Übergabe einer SBOM (Software Bill of Materials).

• Damit ließen sich Komponenten und Abhängigkeiten besser nachvollziehbar dokumentieren – was Sicherheit, Wartbarkeit und „Governance“ verbessere.

Die Rahmenbedingungen für den Einkauf von IT-Leistungen, eben die EVB-IT, werden seit vielen Jahren durch die Öffentliche Hand in Abstimmung mit der Wirtschaft fortentwickelt. In diesen Verhandlungen werden die Anbieter durch den Bitkom vertreten.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Bernhard Rohleder: Hauptgeschäftsführer Bitkom e.V.

Bundesministerium für Digitales und Staatsmodernisierung
Aktuelle EVB-IT: Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen

Bundesministerium für Digitales und Staatsmodernisierung
Dr. Markus Richter – Staatssekretär im Bundesministerium für Digitales und Staatsmodernisierung

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

datensicherheit.de, 19.06.2020
Kultusbehörden: Abhängigkeit statt Open Source / Andrea Wörrlein kritisiert und warnt

[datensicherheit.de, 17.03.2026] Karsten Hauffe, „Head of Public, Defense & Energy“ bei NTT DATA DACH, kommentiert die gegenwärtige geopolitische Situation wie folgt: „Ukraine, Grönland, Iran – die geopolitischen Umbrüche der vergangenen Tage, Wochen und Monate haben eines deutlich gemacht: Die alte Weltordnung existiert nicht mehr – Europa muss sich von Abhängigkeiten befreien und selbst für seine Sicherheit sorgen. Rüstung und Verteidigung sind daher keine Tabuthemen mehr, sondern stehen in Brüssel, Berlin und den anderen europäischen Hauptstädten inzwischen wieder ganz weit oben auf der Agenda!“

Foto: NTT DATA

Karsten Hauffe: Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können

In Europa fließen viele Milliarden in Lösungen für zuverlässige digitale Kommunikation und KI-Auswertung

„Fast alle EU-Staaten haben ihre Verteidigungsausgaben erhöht und investieren kräftig in neues Material und moderne Technologien. Viele Milliarden fließen dabei auch in Lösungen für die zuverlässige digitale Kommunikation und die KI-Auswertung von Aufklärungsdaten, in softwaregesteuerte Waffensysteme und natürlich in eine effiziente digitale Verwaltung“, so Hauffe.

• Schließlich benötige eine schlagkräftige Truppe auch schnelle und reibungslose Beschaffungs- und Versorgungsprozesse.

Mehr noch als die Wirtschaft und die öffentliche Verwaltung seien das Militär, seine Dienstleister und seine Zulieferer allerdings auf robuste, sichere und souveräne Lösungen angewiesen. Jede digitale Komponente müsse jederzeit absolut zuverlässig funktionieren, „damit die europäischen Staaten im Verteidigungs- und Bündnisfall handlungsfähig bleiben“.

Hyperscaler für Europa ungeeignet – zu großes Risiko, von anderen Mächten fremdbestimmt zu werden

Anders als in den meisten Unternehmen, in denen ein Hacker-Angriff oder der Ausfall eines „Cloud“-Dienstes vor allem finanzielle Schäden verursache und schlimmstenfalls Arbeitsplätze kosten könne, stünden bei kompromittierten oder nicht zur Verfügung stehenden Militärsystemen schnell Menschenleben und die nationale Unabhängigkeit auf dem Spiel.

• Hyperscaler sowie proprietäre Architekturen und Plattformen seien deshalb ungeeignet – „zu groß ist das Risiko, dass fremde Mächte ihre Abschaltung veranlassen, die Funktionalitäten einschränken oder auf die gespeicherten Daten zugreifen“.

„Combat Clouds“ beispielsweise, „in denen Daten von Sensoren, Verteidigungssystemen und Kommandoeinheiten zusammenfließen und in Echtzeit über Satelliten oder 5G ausgetauscht werden“, müssten daher auf Basis souveräner Plattformen als „Private Cloud“ oder sogar „Air-Gapped Cloud“ gestaltet werden.

Aufbau Souveräner Umgebungen in Europa – große Sorgfalt bei Auswahl der Anbieter sowie sicherer Implementierung

Aber auch in anderen Bereichen wie der Verwaltung sei es unerlässlich, „dass Anwendungen auf eigenen, unabhängigen Infrastrukturen laufen und wichtige Daten den Perimeter nie verlassen“.

• Dabei erfordere der Aufbau solcher Souveränen Umgebungen nicht nur große Sorgfalt bei der Auswahl der Anbieter, sondern auch bei der sicheren Implementierung – „stehen sie doch ganz besonders im Visier von (oft staatlich organisierten) Hacker-Gruppierungen“. 2025 seien nämlich Regierungs- und Militärorganisationen die am zweithäufigsten via Ransomware attackierte „Branche“ gewesen.

Der Schutz militärischer Netzwerke und Systeme erfordere weit mehr als verschlüsselte Verbindungen und Firewalls: Notwendig seien mehrstufige Sicherheitsansätze mit Echtzeit-Bedrohungsanalysen, autonomen Reaktionen und „Zero Trust“-Prinzipien – sowie der Aufbau einer modernen Sicherheitskultur. „In dieser werden alle Beteiligten mit Trainings für sicherheitsbewusstes Verhalten sensibilisiert und betrachten Fehler als Chance für Verbesserungen statt für Schuldzuweisungen.“

Europa kann nur mittels sicherer und souveräner Lösungen verteidigungsfähig werden

Anwender müssten akzeptieren, dass bei der Nutzung digitaler „Tools“ viel Disziplin notwendig sei – und übergeordnete Stellen in der Beschaffung müssten den Fokus weg von Preis- und „Feature“-Vergleichen auf Kriterienkataloge richten, welche auch Portabilität, Auditierbarkeit, Lieferketten-Transparenz und Exit-Strategien berücksichtigten.

• Letztlich könne sich Europa nur mit sicheren und souveränen Lösungen verteidigungsfähig machen. Hauffe: „Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können.“

Souveränität bedeute hingegen nicht, alles in Eigenregie stemmen zu müssen, denn dafür sei der Modernisierungsbedarf einfach zu groß und die moderne IT- und KI-Welt zu komplex. Vielmehr könne es durchaus sinnvoll sein, Expertise von außen hinzuzuziehen, „solange die Partner unabhängig und vertrauenswürdig sind“. Hauffe gibt abschließend zu bedenken: „Schließlich muss nicht nur eine robuste, sichere und souveräne Verteidigungslandschaft aufgebaut, sondern diese auch langfristig gepflegt und kontinuierlich an neue Bedrohungsszenarien sowie technologische Neuerungen angepasst werden!“

Weitere Informationen zum Thema:

NTT DATA
NTT DATA Technology Foresight 2026 / Nachhaltiges Wachstum im Zeitalter allgegenwärtiger Intelligenz

Linkedin
Karsten Hauffe

EUROPEAN DEFENCE AGENCY, 02.09.2025
EU defence spending hits €343 bln in 2024, EDA data shows

CHECK POINT
Was ist Ransomware?

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

[datensicherheit.de, 29.03.2016] Das Prinzip „no backdoors“ ist nun für alle öffentlichen Auftraggeber verpflichtend, denn der IT-Planungsrat, welcher die Zusammenarbeit der Informationstechnik von Bund und Ländern steuert, hat neue „Ergänzende Vertragsbedingungen“ für die Beschaffung von Hardware beschlossen. Deren Kernelement ist eine verpflichtende „No backdoors“-Klausel, welche Deutschland vor Ausspähung durch ausländische Unternehmen und Regierungen schützen soll.

Echte Sicherheit nur ohne geheimen Fremdzugriff

Lutz Hausmann, Inhaber und Geschäftsführer von Securepoint, begrüßt diese Entscheidung. „Wir arbeiten von Beginn unserer Tätigkeit ohne ,backdoors‘, weil es echte Sicherheit nur dann geben kann, wenn weder Unternehmen, noch andere Länder, Zugriff haben können.“ Aus diesem Grund sei man auch Mitglied der TeleTrust-Initiative „IT-Security made in Germany“, bei der man sich als deutsches Unternehmen verpflichtet, keine versteckten Zugänge in die eigenen Produkte einzuarbeiten und den Anforderungen des deutschen Datenschutzrechtes zu genügen.
Auch René Hofmann, „Senior Key Acount Manager“ bei Securepoint, betont die Freude über diese Erweiterung der Vertragsbedingungen. Dies sei ein wichtiger Schritt in die richtige Richtung und ein Beitrag zur Digitalen Souveränität der Öffentlichen Hand. Allerdings handele es sich hier nur um einen „ersten Schritt“, denn die Vertragsbedingungen seien derzeit nur für Bundesbehörden und nicht für Länder und Kommunen verpflichtend. Man würde eine Ausweitung der Verpflichtung dorthin befürworten, denn gerade Länder und Kommunen seien für sensible Bereiche wie Krankenhäuser, Straßenverkehr, Energie und Luftfahrt zuständig und sollten daher auch nur Produkte ohne „Backdoors“ nutzen dürfen.

Stärkung der deutschen IT-Wirtschaft

Datenschutzexpertin Nasanin Bahmani nutzt ausschließlich Produkte mit dem Siegel „IT-Security made in Germany“. „Wenn wir uns und unser Land vor ausländischen Angriffen schützen wollen, dürfen wir gar keine anderen Produkte mehr nutzen“, so Bahmani. Zudem könne man mit einer Verpflichtung zu „no backdoors“ dafür sorgen, dass deutsche Unternehmen vermehrt deutsche Produkte bezögen, was die deutsche Wirtschaft unterstütze.

Weitere Informationen zum Thema:

datensicherheit.de, 24.03.2016
No backdoors: TeleTrusT begrüßt neue Klausel für Hardware-Beschaffung der Öffentlichen Hand / Nur noch Hardware, für die vom IT-Dienstleister oder Hersteller eine Gewährleistung vorliegt

[datensicherheit.de, 11.12.2014] Die enisa veröffentlichte am 11. Dezember 2014 zwei Berichte:
– „Secure Procurement for Secure Electronic Communications“ (Sichere Beschaffung für sichere elektronische Kommunikation) behandelt die wachsende Abhängigkeit der Anbieter von IKT-Produkten sowie outgesourcten Diensten und analysiert die damit verbundenen Sicherheitsrisiken,
– „Secure ICT Procurement Guide for Electronic Communications Service Providers“ (Leitfaden zur sicheren IKT-Beschaffung für Anbieter elektronischer Kommunikationsdienste) soll als ein praktisches Instrument dienen, mit dem Anbieter die Sicherheitsrisiken im Umgang mit Dienstleistern und Lieferanten von IKT-Produkten und outgesourcten Diensten besser kontrollieren können.

Externe IKT-Produkte und outgesourcte Dienste als Hauptursache

Die Studie „Secure Procurement for Secure Electronic Communications“ folgt der letzten Ausgabe des Jahresvorfallberichts (Annual Incidents Report), der eine ausführliche Analyse der Vorfälle, die für schwere Ausfälle gesorgt haben, bietet.
Eine Hauptursache hierfür waren laut enisa externe IKT-Produkte und outgesourcte Dienste, insbesondere im Bereich Hardware- und Softwarefehler. Der Bericht 2014 ist das Ergebnis der Zusammenarbeit der enisa mit Anbietern und Dienstleistern mit dem Ziel, diese Probleme zu bekämpfen.

***Erkannte Schachstellen und Gefahrenquellen***
Zu den wichtigsten Themen, die von den Anbietern der elektronischen Kommunikationsdienste angesprochen wurden, gehören demnach:

• mangelnde Sicherheitskontrollen auf der Dienstleisterseite,
• Softwareschwachstellen bei IKT-Produkten oder -Diensten,
• Nichteinhaltung der vertraglich festgelegten Sicherheitsanforderungen,
• mangelnde Unterstützung von Dienstleistern bei Vorfällen,
• schwache Verhandlungsposition der Anbieter und
• Fehlen eines Rahmens oder von Leitlinien für Anbieter bei Beschaffung und Outsourcing.

Erhöhte Sensibilisierung für Sicherheitsrisiken bei der Beschaffung

In diesem Zusammenhang gibt die enisa allgemeine Empfehlungen ab und berücksichtigt die Ergebnisse einer von ihr unter Anbietern elektronischer Kommunikationsdienste und IKT-Dienstleistern durchgeführten Umfrage.
Die Empfehlungen an die Mitgliedstaaten beinhalten eine erhöhte Sensibilisierung im Hinblick auf die Sicherheitsrisiken im Zusammenhang mit der Beschaffung von IKT-Produkten und Outsourcing-Diensten.
Darüber hinaus wird Dienstleistern und Anbietern empfohlen, ein gemeinsames Konzept für die Festlegung von Sicherheitsanforderungen, den Austausch von Informationen zu Schwachstellen und Bedrohungen der Sicherheit und zur Begrenzung von Vorfällen zu entwickeln.

Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen

Der enisa-Leitfaden „Secure ICT Procurement Guide for Electronic Communications Service Providers“ soll die Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen abbilden, der von Dienstleistern bei der Beschaffung als Instrument verwendet werden kann, und beschäftigt sich mit Sicherheitsrisiken für Kerndienstleistungen in Kommunikationsnetzen und -diensten.

Praktisches Instrument für die Beschaffung

Der Jahresvorfallbericht zeige jedes Jahr, dass externe IKT-Produkte und „Managed Services“ die Hauptursache für die Ausfälle sind, erläutert Professor Udo Helmbrecht, Geschäftsführender Direktor der enisa. So könne ein einfacher Softwarefehler erhebliche Auswirkungen auf die Verfügbarkeit des Internets und von Telefonie-Diensten haben, und die Anbieter seien nicht immer in der Lage, diese Probleme rasch selbstständig zu lösen.
Der am 11. Dezember 2014 veröffentlichte enisa-Sicherheitsleitfaden für IKT-Beschaffung sei ein praktisches Instrument, mit dem Anbieter IKT-Produkte und -Dienste von Dienstleistern und Lieferanten mit den erforderlichen Sicherheitsanforderungen kaufen könnten, so Professor Helmbrecht.

Weitere Informationen zum Thema:

enisa
Secure ICT Procurement in Electronic Communications