Digitalgipfel 2025 in Berlin
Europa ringt um digitale Souveränität – doch Open Source wird übersehen
Der Gipfel zur Europäischen Digitalen Souveränität am 18. November 2025 in Berlin bot die Chance, Leitlinien für eine selbstbestimmte, sichere und wettbewerbsfähige digitale Infrastruktur in Europa zu setzen. Geladen waren größtenteils hochrangige Regierungsdelegationen aus mehreren EU-Mitgliedstaaten, große europäische IT- und Telekommunikationsanbieter, Forschungsinstitutionen sowie ausgewählte Wirtschaftsverbände.
Während wenig überraschend viel über Cloud, KI und „Buy European“ gesprochen wurde, spielten Open Source und die dazugehörigen Akteure und Communities höchstens eine Statistenrolle. Die von Österreich initiierte und auf dem Gipfel von den EU Staaten unterzeichnete „Charta für Digitale Souveränität und Resilienz“ stellt Open-Source-Lösungen sogar als potenziell unsichere Option dar, die im Zweifel durch „zuverlässige proprietäre Technologien“ ergänzt werden müsse.
Gleichzeitig wurde das ZenDiS (Zentrum für digitale Souveränität) im Programm nahezu unsichtbar, während große Konzerne wie SAP, Telekom & Co. prominent vertreten waren. Aus unserer Sicht verkennt das die grundlegende Logik digitaler Souveränität.
Warum Open Source zentral für digitale Souveränität ist – und richtig organisiert werden muss
Open Source ist kein Selbstzweck, und es ist nicht automatisch gut. Aber: Wenn Open Source professionell organisiert wird, ist es der stärkste Hebel für souveräne, wirtschaftliche und sichere Digitalisierung im öffentlichen Sektor.
Was heißt „Open Source richtig machen“ konkret?
– Geschwindigkeit durch gemeinsame Entwicklung
Gleichzeitig und gemeinsam entwickeln, statt x-fach dieselbe Lösung in Silos bauen zu lassen. Offene Codebasen ermöglichen parallele Entwicklungen und verhindern doppelte Investitionen in zig Silos. Kein proprietäres Modell schafft vergleichbare Skaleneffekte und kann bei diesem Tempo mithalten.
– Kosteneffizienz und Vermeidung von Lock-ins
Öffentliche Mittel fließen in wiederverwendbare digitale Werte statt in zeitlich begrenzte Einmallösungen. Gerade Kommunen profitieren von niedrigeren Lizenzkosten und der Vermeidung von Abhängigkeiten. Studien und Praxisberichte zeigen, dass Open Source gerade im öffentlichen Sektor langfristig die wirtschaftlichsten Digital-Investitionen ermöglicht.
– Transparenz, Nachvollziehbarkeit & Vertrauen
Der Code ist einsehbar – für Verwaltung, Community, Audit-Teams. Das stärkt Vertrauen in staatliche IT, erleichtert Compliance-Prüfungen und ermöglicht nachvollziehbare Entscheidungen.
– Sicherheit durch Offenheit – wenn man sie aktiv gestaltet
Offenheit ist keine Schwäche, sondern eine Grundlage: Das „many-eyes“-Prinzip und unabhängige Audits bieten strukturelle Vorteile gegenüber geschlossenen Systemen. Hierdurch können Schwachstellen schneller gefunden. und Sicherheitslücken nachweisbar schneller geschlossen werden.
Aber: Diese Vorteile kommen nicht von allein. Sie brauchen strukturierte Governance, Finanzierung und eine neutrale Rolle, die Verantwortung übernimmt.
Der blinde Fleck der Sicherheitsdebatte: Warum Open Source in der Sicherheitsdebatte oft unterschätzt wird
Die Gipfel-Charta suggeriert, Open Source sei inhärent unsicher und müsse durch proprietäre Lösungen „gerettet“ werden. Das Gegenteil ist richtig, denn die Realität ist differenzierter:
Warum Open Source sicherer sein kann als proprietäre Software – wenn man es nutzt:
– Transparenz statt Blackbox
Jeder Code kann geprüft werden – von Security-Teams, Forschung, Verwaltung selbst. Das reduziert das Risiko versteckter Backdoors und erleichtert Compliance-Nachweise.
– Schnellere Schwachstellen-Erkennung und Patches
Durch die breite Einsicht in den Code werden werden kritische Lücken und Schwachstellen früher entdeckt und – bei aktiven Communities und Maintainer-Teams – zügig behoben.
– Unabhängigkeit im Incident-Fall
Organisationen sind nicht an das Tempo eines Einzelanbieters gebunden und können eigene Fixes bauen, Forks pflegen oder zusätzliche Sicherheitsmaßnahmen ergänzen. Dadurch behalten sie die Kontrolle über Reaktionszeiten und Sicherheitsniveau statt von der Verfügbarkeit oder Priorisierung eines Herstellers abhängig zu sein.
– Bessere Kontrolle der Supply Chain
Mit klaren Richtlinien (SBOM, reproduzierbare Builds, standardisierte Audits) lassen sich OSS-Abhängigkeiten oft besser dokumentieren und prüfen als proprietäre Blackboxes.
Aber das passiert nicht automatisch. Open Source ist nur dann sicherer, wenn wir die Freiheiten aktiv nutzen:
– Kontinuierliche, systematische Sicherheitsaudits & Pen-Tests,
– automatisierte Tests und CI/CD-Pipelines,
– klare Security-Responsibility (verantwortliches Disclosure, klare Maintainer-Rolle),
– und vor allem: finanzierte Wartung und Weiterentwicklung
Was fehlt: Governance, Finanzierung und neutrale Organisationen
Genau dieser Punkt fehlte beim Gipfel vollständig:
Projekte, Cloud-Angebote und Industrieinitiativen sind wichtig, aber sie ersetzen keine nachhaltigen Strukturen für Open Source (Governance, Wartung und Finanzierung) um diese als kritische Basisinfrastruktur planbar, sicher und langfristig betreibbar zu machen.
Dabei zeigen Initiativen wie der Sovereign Tech Fund und EU-Vorschläge für einen europäischen „Sovereign Tech Fund“, wie wichtig es ist, Open-Source-Grundlagen langfristig öffentlich zu finanzieren. Und das gerade aus Sicherheitsgründen.
Was wir brauchen sind:
– eine neutrale Trägerstruktur, die keine eigenen Marktinteressen verfolgt, sondern Gemeinwohl und die Interoperabilität im Blick behält.
– klare Standards und Qualitätsanforderungen für Offenheit, Sicherheit und Nachnutzbarkeit, die definieren, wie offene Software im öffentlichen Sektor entwickelt, dokumentiert, geprüft und nachgenutzt werden muss
– dauerhafte Finanzierung, die Wartung, Security-Updates und Weiterentwicklung absichert,
Genauso ein Modell skizzieren wir u. a. mit der Idee einer öffentlichen Open-Source-Foundation, die Standards definiert und Wartungskosten mitträgt. Das schafft nicht nur Sicherheit und Planbarkeit in der Software, sondern auch Mehrwerte in der Wirtschaft: Dienstleister können auf einer stabilen, offenen Basis Leistungen anbieten, Wettbewerb entsteht über Qualität – nicht über proprietäre Lock-in-Effekte.
Die Rolle von Civitas Connect e. V.
Mit Civitas Connect und CIVITAS/CORE arbeiten wir genau an dieser Stelle: Als neutrale Organisation ohne Marktinteressen, mit dem Ziel, kommunale Open-Source-Basisinfrastruktur gemeinsam mit unseren Mitgliedern und Partnern aufzubauen, zu pflegen und weiterzuentwickeln. Wir möchten damit Souveränität, Sicherheit und Wirtschaftlichkeit zusammenführen und die Steuerungshoheit im öffentlichen Sektor sichern.
Unser Fazit
Wenn Europa digitale Souveränität wirklich ernst meint, kann Open Source nicht als „Risiko“ oder „Behelfslösung“ behandelt werden. Open Source ist ein strategisches Fundament für Wettbewerb, Innovation und eine resiliente öffentliche Daseinsvorsorge, wenn es strukturiert, finanziert und professionell organisiert wird, sondern müssen es strategisch organisieren.
Civitas Connect steht bereit, diese Debatte gemeinsam mit Kommunen, Ländern, Bund und europäischen Partnern aktiv mitzugestalten.